Verwenden der SSH-Schlüsselpaarauthentifizierung und Deaktivieren der SSH-Kennwortauthentifizierung - Was passiert, wenn der private Schlüssel verloren geht?

7

Ich konfiguriere meinen ersten Server auf Linode und gehe die Einrichtungs-Tutorials durch.

In ihrem Lernprogramm zum Sichern Ihres Servers wird empfohlen, die SSH-Schlüsselpaarauthentifizierung zu verwenden und die Kennwortauthentifizierung zu deaktivieren.

Meine Frage ist, ob ich die Kennwortauthentifizierung deaktiviere - was ist, wenn ich meinen privaten Schlüssel verliere? Wie kann ich mich jemals wieder bei meinem Server anmelden?

linux ubuntu ssh ssh-keys Adam Johns
quelle
1
Dafür sind Backups da.

Antworten:

16

Meine Frage ist, ob ich die Kennwortauthentifizierung deaktiviere - was ist, wenn ich meinen privaten Schlüssel verliere? Wie kann ich mich jemals wieder bei meinem Server anmelden?

Aus diesem Grund sollten Sie immer eine Form der Out-of-Band-Verwaltung für Ihren Server haben. Für einen physischen Server wäre dies etwa die DRAC-Karte von Dell oder die iLO-Karte von HP. Für Ihre Linode ist LISH genau das. Mit diesen OOB-Lösungen können Sie sich mit Ihrem Benutzernamen und Passwort bei der eigentlichen Konsole Ihres Servers anmelden. Diese sind auch nützlich, wenn das Netzwerk auf Ihrem Server unterbrochen wird und Sie nicht darauf zugreifen können.

Aber ehrlich gesagt, verliere einfach nicht deinen Schlüssel. Schützen Sie es mit einer Passphrase und sichern Sie es an einem sicheren Ort. Verdammt, drucken Sie es aus und verstauen Sie es in Ihrem Safe. Es sind relativ kleine Dateien, und es gibt keine Entschuldigung dafür, sich nicht gut darum zu kümmern.

Update: In Bezug auf die LISH-Sicherheit: Verwenden Sie unterschiedliche Anmeldeinformationen / Schlüssel für LISH. Das ist alles, was dazu gehört - Anmeldeinformationen, die, wenn sie kompromittiert werden, keinen Zugriff auf Ihren Server gewähren.

In Bezug auf jemanden, der herausfindet, dass Linode Ihr Anbieter ist, sind diese Informationen für jedermann verfügbar und nur einen einfachen whoisBefehl entfernt.

EEAA
quelle
Ich denke, die "Entschuldigung dafür, dass man sich nicht gut darum kümmert" ist genau, dass man immer noch mit dem LISH- oder Out-of-Band-Management in Kontakt kommen kann. Wenn Sie einen Linode haben, können Sie das Root-Passwort der Box so einstellen, dass es mit Ihrem Linode-Passwort übereinstimmt. Dann gibt es keinen Grund, die Kennwortauthentifizierung zu deaktivieren, da jeder, der Ihr Linode-Kennwort kennt, ohnehin schon schlechte Dinge auf Ihrem Server tun kann.
Atsby
@Atsby - Der Grund wäre, dass es möglicherweise einfacher ist, die Box mit einem Wörterbuch anzugreifen als mit dem Linode-System. Und wenn sie erfolgreich sind, haben Sie ihnen auch gerade Ihr Linode-Passwort gegeben. Denken Sie daran, wenn Sie Kennwörter wiederverwenden, sind alle diese Systeme genauso sicher wie das schwächste .
Xorsyst
2
@Atsby Nun, wenn jemand das tut, hat er es verdient, kompromittiert zu werden. Immer unterschiedliche Systeme, unterschiedliche Anmeldeinformationen.
EEAA
@Atsby, Out-of-Band-Management kann (muss) seine eigenen Sicherheitsbeschränkungen haben. In einigen Fällen kann dies bedeuten, dass Sie ein Rechenzentrum physisch besuchen oder zumindest eine Verbindung zu einem VPN mit separatem Schlüssel herstellen müssen. Wenn Linode keine Ratenbegrenzung vornimmt, um zu verhindern, dass LISH und Verwandte angreifen, erledigen sie ihre Arbeit nicht effektiv. (Natürlich öffnet die Ratenbegrenzung die Tür für DOS-Angriffe, aber es gibt auch Gegenmaßnahmen dagegen. Die Notwendigkeit, ein gutes Gleichgewicht zu finden, ist Teil dessen, warum es besser ist, die Sicherheit in den Händen von Leuten zu haben, die Zeit und Sorgfalt dafür haben es richtig).
Charles Duffy
1
@xorsyst Ich denke, jeder versteht, dass, wenn Sie ein Passwort haben, das durch einen Wörterbuchangriff gefunden werden kann, dies genau dort Ihr Problem ist - Sie müssen sich die Sicherheitseigenschaften des Systems nicht genauer ansehen.
Atsby
2

Sie würden ausgesperrt, als hätten Sie das Root-Passwort vergessen.

Sie sollten Ihren Schlüssel auf externen Medien sichern und an einem sicheren Ort aufbewahren. Mit einer Passphrase in einer Box bei der Bank, wenn Sie der paranoide Typ sind.

Natürlich gibt es verschiedene absichtliche Hintertüren, wie zum Beispiel VNC von Digitalocean. Und / oder einen verwalteten Sicherungsdienst wie Idera, bei dem Sie Dateien auf den Computer übertragen können (einfach eine SSHD-Konfiguration, in der Kennwortanmeldungen zulässig sind).

Arthur Kay
quelle
Abgesehen davon hat mein VPS genau deshalb Idera. Meine SSH-Verbindung ist insofern besonders sicher, als Sie ein privates, zertifikatgesteuertes VPN benötigen. Wenn die VPN-Konfiguration fehlerhaft ist, ist dies eine vollständige Sperrung. Es sei denn, ich kann die Verwaltungskonsole verwenden, um eine Sicherungskopie der vorherigen zu erstellen.
Arthur Kay