Sollte ich meine SSH-Hostschlüssel sichern?

8

In meinen automatisierten Backups bin ich mir nicht sicher, ob ich das tun soll. Wenn die Festplatte ausfällt oder ich die Festplatte lösche und neu beginne, wie wirkt es sich aus, wenn ich meinen Clients mit einem neuen SSH-Hostschlüssel beginne? Muss ich etwas anderes tun, als den Hostnamen aus der known_hostsDatei jedes Clients zu entfernen ? Was ist in diesem Fall das Beste? Ich habe vor, meinen Computer zu löschen und in den nächsten Tagen von vorne zu beginnen.

ssh security backup openssh Naftuli Kay
quelle

Antworten:

10

Wenn Sie das Betriebssystem auf Ihrem Computer neu installieren, aber der Meinung sind, dass es sich immer noch um denselben Computer handelt, müssen Sie den privaten SSH-Schlüssel sichern und nach der Installation wiederherstellen. Wenn Sie dieselbe Hardware wiederverwenden, um ein anderes System zu erstellen, müssen Sie einen neuen Schlüssel für das neue System generieren. Die Entscheidung, ob es sich immer noch um denselben Computer handelt, ist eine semantische Entscheidung. Es liegt also an Ihnen. Das Wiederherstellen oder Wiederherstellen des SSH-Schlüssels ist die Umsetzung dieser Entscheidung.

Wenn Sie die einzige Person sind, die auf diesen Computer zugreift, spielt dies keine Rolle. Wenn Sie andere Benutzer haben, führt das Ändern des SSH-Schlüssels zu folgenden Problemen:

  • Die wenigen Benutzer, die sowohl sicherheitsbewusst als auch sachkundig sind, werden sich Sorgen machen, dass etwas Schlimmes passiert, und versuchen, Sie außerhalb der Band zu kontaktieren, um Sie zu warnen, dass sie möglicherweise angegriffen werden.
  • Die wenigen Benutzer, die sich auskennen, aber nicht so paranoid sind, werden den alten SSH-Schlüssel entfernen, um die Fehlermeldung zu entfernen, und über den Systemadministrator meckern, der den Schlüssel ändert.
  • Die Mehrheit der Benutzer, die Nachrichten ignorieren, wird nur feststellen, dass sie keine Verbindung herstellen können, und Sie möglicherweise um Hilfe bitten.
Gilles 'SO - hör auf böse zu sein'
quelle
Wie kann ich den privaten ssh-Schlüssel sichern? Ich plane eine neue
OS-
@ Lykos Es ist nur eine Datei (tatsächlich eine Datei pro Algorithmus, und die öffentliche Schlüsseldatei wird auch zur Vereinfachung gesichert, selbst wenn sie aus der privaten Schlüsseldatei neu erstellt werden könnte). Normalerweise am /etc/ssh_host_*_key*oder/etc/ssh/ssh_host_*_key*
Gilles 'SO - hör auf böse zu sein'
Nicht sicher , ob ich richtig verstehe, aber ich kann tun cat ~/.ssh/id_rsa.pubund cat ~/.ssh/id_rsa.pubund kopieren Sie den Inhalt in einer TXT - Datei als Backup?
17.
@ Lykos Dies sind öffentliche Benutzerschlüssel, die mit dieser speziellen Frage nichts zu tun haben. Ich weiß nicht, was Sie tun möchten, aber normalerweise ist es das Wichtigste, die privaten Schlüssel zu sichern. Verwechseln Sie Host- und Benutzerschlüssel nicht (ich bin sicher, wir haben ein oder drei Fragen zum Thema).
Gilles 'SO - hör auf böse zu sein'
2

Wenn sich nicht eine Welt von Menschen neben Ihnen mit Ihrem System verbindet und Sie möchten, dass die Änderung ihres Dienstes so ununterbrochen wie möglich erfolgt, ist es wahrscheinlich genauso gut, dass Sie neue Hostschlüssel erstellen. Wenn Sie ein System löschen und von vorne beginnen, ist es nicht mehr das gleiche System wie zuvor, und Ihre SSH-Clients möchten Sie zu Recht darüber informieren, dass sich das System geändert hat. Wenn Sie keine verrückten Sperren haben, wenn Sie keine Verbindung zu neuen Hosts herstellen können, sollte es einfach sein, die bekannte Hosts-Datei zu aktualisieren.

Caleb
quelle