Ist mein SSH-Schlüssel mit mir als Mensch oder mit meinem Benutzerkonto auf einem Computer gekoppelt?

11

In den letzten Tagen habe ich versucht, mich mit SSH vertraut zu machen, und ich hoffe, dass ich es verstanden habe.

Eine Frage bleibt jedoch offen: Ist mein Schlüssel mit mir (als Benutzer) oder meinem Benutzerkonto auf dem Computer verknüpft?

Graslandpinguin
quelle

Antworten:

8

Sie haben keinen Schlüssel, Sie haben ein Schlüsselpaar. Wie Sie damit umgehen, ist sehr unterschiedlich. Ihr öffentlicher Schlüssel kann auf Twitter gepostet und mit der ganzen Welt geteilt werden (einschließlich Gauner). Ihr privater Schlüssel muss sorgfältig geschützt werden.

Ich habe auf allen Servern, auf die ich über SSH zugreife, denselben öffentlichen Schlüssel.

Ich behalte denselben privaten Schlüssel auf den beiden Desktop-PCs und einem Netbook, mit dem ich auf diese Server zugreife. Ich behalte den privaten Schlüssel auch auf einem USB-Laufwerk zur Verwendung auf PCs anderer Personen (ohne ihn auf ihren PC zu kopieren). Ich verwende eine starke Passphrase, um den privaten Schlüssel zu schützen. Es gibt keinen Grund, warum Sie den privaten Schlüssel nicht einfach nur auf einem USB-Laufwerk (und nirgendwo anders) aufbewahren könnten.

RedGrittyBrick
quelle
2
Nirgendwo sonst? Sie sollten ein Backup aufbewahren (jedoch ordnungsgemäß gesichert).
Lumbric
8

Ein privater Schlüssel repräsentiert Ihre Identität. Ob auf verschiedenen Computern unterschiedliche Schlüssel vorhanden sein sollen, hängt davon ab, ob Sie "Ich auf Maschine A" und "Ich auf Maschine B" als dieselbe Identität betrachten.

Der Hauptvorteil eines einzigen privaten Schlüssels ist die einfache Wartung. Sie müssen nur einen einzigen öffentlichen Schlüssel für alle Orte bereitstellen, an denen Sie sich anmelden möchten, und können sich dort von überall aus anmelden.

Der Hauptvorteil mehrerer privater Schlüssel besteht darin, den möglichen Schaden zu begrenzen, wenn ein Schlüssel kompromittiert wird.

Wenn Sie beispielsweise mehrere physisch sichere Computer und einen Laptop haben, ist es sinnvoll, auf all diesen physisch sicheren Computern einen gemeinsamen privaten Schlüssel zu haben, auf dem Laptop jedoch einen anderen Schlüssel. Auf diese Weise können Sie bei Diebstahl des Laptops den entsprechenden öffentlichen Schlüssel ungültig machen und sich dennoch von einem der physisch sicheren Computer auf einem anderen anmelden.

Gilles 'SO - hör auf böse zu sein'
quelle
5

Für ssh repräsentiert ein Schlüsselpaar (öffentlich + privat) eine einzelne Identität. Sie behalten Ihren geschützten privaten Schlüssel auf Computern, denen Sie vertrauen und die Sie schützen können. Sie platzieren Ihre Informationen zu öffentlichen Schlüsseln auf Computern, auf die Sie über die Schlüsselauthentifizierung remote zugreifen möchten.

Sie sollten Ihren privaten Schlüssel nicht auf Computern ablegen, denen Sie nicht vertrauen. Das Kopieren von .ssh / around kann daher riskant sein.

Auf Computern, zu denen Sie eine Verbindung herstellen möchten, platzieren Sie eine Kopie Ihres öffentlichen Schlüssels in einer bestimmten Datei (normalerweise .ssh / autorisierte_Tasten), damit die Authentifizierung erfolgen kann. Technisch gesehen kopieren Sie also nirgendwo Schlüssel, sondern nur den Inhalt Ihres öffentlichen Schlüssels in eine andere Datei.

Angenommen, Sie haben einen Computer, dem Sie vertrauen, und 12, zu dem Sie eine Verbindung herstellen möchten, würden Sie Ihre Informationen zum öffentlichen Schlüssel auf 12 Computern in die Datei .ssh / authorized_keys einfügen.

Später haben Sie möglicherweise einen anderen Computer, dem Sie voll vertrauen. Sie haben die Wahl, ob Sie ein neues öffentliches / privates Schlüsselpaar für diesen Computer erstellen und den öffentlichen Schlüssel in die 12 .ssh / authorisierten_keys-Dateien kopieren oder ob Sie Ihren privaten Schlüssel auf den neuen Computer kopieren (zu diesem Zeitpunkt tun Sie nichts mit den 12 anderen Maschinen). Es hängt davon ab, wie sehr Sie den verschiedenen Maschinen vertrauen.

Ich versuche, so wenige Schlüsselpaare zu haben, wie es für die Sicherheit, die Sie erreichen möchten, sinnvoll ist.

Ihre Grundvoraussetzung ist jedoch korrekt. Das Schlüsselpaar ist mehr mit Ihnen verwandt als mit einem Konto (dh Sie können denselben öffentlichen Schlüssel in drei Konten auf einem Server einfügen und dann mit nur einem von Ihrem Computer aus auf eines dieser Konten ssh einzelner privater Schlüssel).

EightBitTony
quelle
1

Hat meine Tastatur mehr mit mir (als Mensch) oder mit meinem Benutzerkonto auf meinem lokalen Computer zu tun?

Die Schlüssel beziehen sich auf die Benutzerkonten, auf denen Sie sie installieren möchten.

Haben Sie auf allen Computern, die Sie verwenden, denselben Schlüssel? Oder andere für jede Maschine?

Sie können für jede Maschine mehrere Schlüssel erstellen oder überall denselben Schlüssel verwenden. es liegt an dir. Welches macht wenig bis gar keinen Unterschied.

psusi
quelle
"Mach was du willst" ist nicht so hilfreich.
Eric Wilson
@FarmBoy, die direkte Beantwortung der Frage "Wie funktioniert es?" Mit "Es kann so oder so gemacht werden" ist kaum eine nutzlose Antwort.
Psusi
1
Die Frage lautete eher: "Wie soll es gemacht werden?". Wenn die Antwort lautet: "Es kann so oder so gemacht werden", ist es am besten, die Vorteile verschiedener Ansätze und einige Vorschläge zu berücksichtigen, wie man die Entscheidung treffen würde.
Eric Wilson
@ FarmBoy so habe ich die Frage nicht gelesen. Ich habe gelesen, wie es gemacht wird. Welcher Weg der beste ist, macht keinen Unterschied. Es kommt buchstäblich darauf an, wie Sie sich fühlen.
Psusi