ทำไม Google แนะนำให้ลบคีย์ SSH ออกจาก GCE เพื่อความปลอดภัย

การอ้างถึงเอกสารด้านล่างของ Google นั้นไม่เป็นความจริงอีกต่อไป

Google แนะนำให้ลบคีย์ SSH ออกจากอินสแตนซ์ GCE เพื่อรักษาความปลอดภัย SSH นั่นไม่สมเหตุสมผลเลยสำหรับฉัน กุญแจมีไว้เพื่อความปลอดภัยใช่ไหม? เมื่อฉันลบกุญแจออก SSHD จะหยุดทำงาน ฉันอาจพลาดจุดของพวกเขา ใครสามารถอธิบายสิ่งนี้โดยเฉลี่ย:

ลบคีย์โฮสต์ ssh

อย่าใช้คีย์โฮสต์ ssh กับอินสแตนซ์ของคุณ ลบออกดังนี้:
rm /etc/ssh/ssh_host_key
rm /etc/ssh/ssh_host_rsa_key*
rm /etc/ssh/ssh_host_dsa_key*
rm /etc/ssh/ssh_host_ecdsa_key*

— Martin Prikryl
แหล่งที่มา

เอกสารแนะนำให้เปิดใช้งานStrictHostKeyCheckingและแนะนำให้ปิดใช้งานในภายหลัง ฉันคิดว่ามันไม่ใช่เอกสารที่แก้ไขอย่างระมัดระวัง คำแนะนำของฉันคือเชื่อใจในการตัดสินใจของคุณเองและใช้กุญแจโฮสต์ถ้าไม่มีเหตุผลที่ดี

— aecolley

@ aecolley ฉันก็สังเกตเห็นเช่นกัน ฉันได้ส่งข้อเสนอแนะให้พวกเขา จะดูว่าพวกเขากลับมาหาฉัน

— Martin Prikryl

ฉันได้อธิบายรายละเอียดไว้ด้านล่าง แต่หน้าเว็บที่คุณกำลังดูคือการให้คำแนะนำในการสร้างภาพใหม่ไม่ใช่เพื่อความปลอดภัยของเครื่อง ฉันจะได้รับเอกสารที่อัปเดตเพื่อรวมรายละเอียดเพิ่มเติมเกี่ยวกับเวลาและสาเหตุที่คุณต้องการลบคีย์โฮสต์เนื่องจากเหตุผลไม่ชัดเจน

— Benson

คำตอบ:

รายละเอียดที่สำคัญคือหน้าที่คุณอ้างถึงนั้นเกี่ยวกับการสร้างอิมเมจเครื่อง Compute Engine ใหม่ โดยเฉพาะอย่างยิ่งเมื่อคุณสร้างอิมเมจเครื่องเสมือนใหม่คุณต้องการตรวจสอบให้แน่ใจว่าไม่ได้มีคีย์โฮสต์ใด ๆ ด้วยวิธีนี้เมื่อรูปภาพถูกโคลนและสร้างใหม่ใน VM จริงสคริปต์เริ่มต้น sshd จะรับรู้ว่าไม่มีคีย์โฮสต์และสร้างใหม่โดยอัตโนมัติ สิ่งนี้เป็นสิ่งที่น่าพอใจเพราะการมีเครื่องหลายเครื่องที่ใช้โฮสต์คีย์เดียวกันเป็นความคิดที่ไม่ดี

ดังนั้นในกรณีทั่วไปโปรดอย่าลบกุญแจโฮสต์ของคุณ แต่ถ้าคุณกำลังสร้างภาพใหม่มันเป็นขั้นตอนที่สำคัญเพื่อให้แน่ใจว่ามีความสัมพันธ์แบบหนึ่งต่อหนึ่งระหว่างคีย์โฮสต์และเครื่อง

— เบนสัน
แหล่งที่มา

ขอบคุณ มันสมเหตุสมผลแล้ว แม้ว่าคำอธิบายบางอย่างจะช่วย "อย่าใช้คีย์โฮสต์ ssh กับอินสแตนซ์ของคุณ" มันเป็นประโยคที่สับสนจริงๆ

— Martin Prikryl

ฉันเห็นด้วยทั้งหมด - ขอบคุณมากสำหรับการชี้ให้เห็นว่า ฉันได้ส่งการอัปเดตไปยังเอกสารจริงเพื่อชี้แจงถ้อยคำที่ฉันสงสัยว่าจะถูกส่งออกในไม่ช้า

— Benson

ตอนนี้เอกสารที่อัปเดตจะเผยแพร่แล้ว: developers.google.com/compute/docs/images#removesshkeys

— Benson

เหตุผลเดียวที่ฉันคิดได้ก็คือพวกเขาต้องการบังคับให้คุณสร้างคีย์ใหม่
เนื่องจากคีย์เหล่านี้ถูกสร้างขึ้นก่อนที่คุณจะเข้าถึงได้จึงอาจไม่เชื่อถือ
การลบและรีสตาร์ทsshdจะสร้างคีย์ให้คุณใหม่
อย่างไรก็ตามเอกสารไม่ได้ทำให้ชัดเจน

นี่คือการเก็งกำไรที่บริสุทธิ์และมันจะเป็นการดีกว่าที่จะติดต่อพวกเขาและรับการชี้แจงเกี่ยวกับเรื่องนี้

— ของที่กุขึ้น
แหล่งที่มา

ขอบคุณสำหรับคำตอบของคุณ ฉันจำเป็นต้อง SSH sshdไปยังเซิร์ฟเวอร์เพื่อเริ่มต้น แต่ในการเชื่อมต่อฉันต้องยอมรับคีย์โฮสต์ของเซิร์ฟเวอร์ "ที่ไม่น่าเชื่อถือ" ดังนั้นสิ่งที่ฉันทำในระหว่างเซสชันนี้จึงไม่น่าเชื่อถือ แม้แต่การเริ่มระบบใหม่ของ sshd ขวา?

— Martin Prikryl

ฉันเดาว่าความกังวลหลักอาจเป็นเพราะลูกค้าบางรายได้รับคีย์เดียวกันกับคุณ (หมายเหตุ: สิ่งนี้ไม่ได้ทำให้พวกเขาสามารถเข้าถึงอินสแตนซ์ของคุณได้ หากคุณไม่เชื่อถือผู้ให้บริการของภาพคุณไม่ควรเรียกใช้สิ่งใดที่นั่น (พวกเขาสามารถเข้าถึงได้จริง)

— ขนม

IIRC มีงานวิจัยบางอย่างที่แสดงให้เห็นว่าคุณภาพของเอนโทรปีในระบบบางระบบฝังตัวโดยเฉพาะ แต่อาจรวมถึงเครื่องเสมือนที่เพิ่งเริ่มต้นบางประเภทซึ่งเริ่มต้นใหม่ไม่สูงมากนัก เมื่อสร้างพับลิกคีย์ในการบูตครั้งแรกเช่นคีย์โฮสต์ SSH คีย์เหล่านั้นอาจคาดเดาได้

— HBruijn

@HBruijn ขอบคุณสำหรับความคิดเห็น แต่การลบทิ้งและปล่อยให้ sshd สร้างใหม่เมื่อรีสตาร์ทไม่ทำให้ดีขึ้น คุณจะต้องอัปโหลดของคุณเอง แต่นั่นไม่ครอบคลุมในเอกสาร

— Martin Prikryl

ฉันส่งความคิดเห็นถึง Google แล้ว จะดูว่าพวกเขากลับมาหาฉัน

— Martin Prikryl