วิธีการเลิกใช้คู่คีย์ SSH แบบโลคัล

10

ฉันใช้ ssh-keys มาพักหนึ่งแล้ว ฉันกำลังคิดที่จะอัพเกรดคู่คีย์ ssh ของฉันให้ปลอดภัยยิ่งขึ้นและฉันไม่รู้อุปกรณ์ทั้งหมดที่ลงทะเบียนกุญแจของฉัน

เป็นไปได้หรือไม่ที่จะ"เลิกใช้งาน"คีย์ SSH ภายในเครื่องเพื่อที่ฉันจะได้รับคำเตือนหากฉันตรวจสอบสิทธิ์ด้วยคีย์ SSH ที่เลิกใช้แล้วหรือไม่

security ssh-keys

— tim0_o
แหล่งที่มา

ในขณะที่คุณอยู่ที่นี่ฉันขอแนะนำให้คุณหยุดใช้คีย์ SSH เดียวกันสำหรับโฮสต์หลายแห่ง มันไม่จำเป็นต้องเพิ่มพื้นผิวการโจมตีเช่นเดียวกับค่าของคีย์นั้นในกรณีที่มีการละเมิด ให้ใช้คีย์เดียวสำหรับแต่ละโฮสต์ที่คุณเชื่อมต่อ นึกคิดใช้หนึ่งที่สำคัญสำหรับลูกค้าและเซิร์ฟเวอร์แต่ละคู่ ( แต่เครื่องชั่งน้ำหนักนี้ไม่ดีถ้าคุณมีระบบลูกค้าจำนวนมากเชื่อมต่อกับเซิร์ฟเวอร์อีกมากมาย) ฉันยังต้องการแท็กคีย์ด้วยวันที่สร้างในความคิดเห็นหรือชื่อคีย์ทำให้ฉันสามารถติดตามว่าพวกเขามีอายุเท่าไหร่ จากนั้นตั้งค่าการเตือนซ้ำ ๆ ทุก ๆ 6-24 เดือนในปฏิทินของคุณเพื่อต่ออายุ

— CVn

@ MichaelKjörlingฉันไม่เห็นด้วยกับส่วนแรกของคำแนะนำของคุณ การสร้างคู่คีย์จำนวนมากที่จัดเก็บคีย์ส่วนตัวทั้งหมดไว้ในเครื่องเดียวกันที่มีการอนุญาตเดียวกันไม่ได้มีการปรับปรุงด้านความปลอดภัยที่สำคัญ หากใครถูกโจมตีก็มีโอกาสมากที่สุดที่เหลือของพวกเขาจะถูกโจมตีเช่นกัน และในกรณีนี้การมีคู่คีย์จำนวนมากหมายความว่าจะมีงานที่ต้องทำเพิ่มเติมในการหมุนพวกเขาเมื่อคุณเห็นเหตุผลในการสร้างคู่คีย์ใหม่ ส่วนเกี่ยวกับการเพิ่มวันที่สร้างความคิดเห็นเป็นคำแนะนำที่ดี (ฉันต้องการssh-keygenจะทำเช่นนั้นโดยค่าเริ่มต้น)

— kasperd

@kasperd คุณสร้างจุดดี ฉันคิดเสมอว่ามันขึ้นอยู่กับรูปแบบการคุกคามของคุณเป็นอย่างมาก ฉันสงสัยว่าฉันเดาโดยปริยายว่ากุญแจจะมีวลีรหัสผ่านที่แตกต่างกันซึ่งฉันสามารถดูได้ว่าการใช้ปุ่มจำนวนมากอาจไม่สามารถใช้งานได้จริงตลอดเวลาเว้นแต่ว่าคุณเต็มใจที่จะเพิ่มตัวจัดการรหัสผ่านในการผสม มันไม่แต่อนุญาตให้มีอะไรบางอย่างที่ใกล้เคียงกับสิ่ง OP จะอธิบายตั้งแต่ที่สำคัญสามารถ "เลิก" ได้อย่างง่ายดายมากโดยไม่มีผลต่อการเชื่อมต่ออื่น ๆ ฉันสงสัยว่าในท้ายที่สุดมันเป็นเรื่องของรสนิยมส่วนตัว

— CVn

9

ฉันไม่รู้วิธีการทำสิ่งนี้ แต่ฉันเห็นว่ามันจะมีประโยชน์อย่างไร สิ่งที่ฉันอยากจะทำคือการหยุดการเพิ่มกุญแจที่เลิกใช้ไปยังตัวแทน SSH ของฉัน ด้วยวิธีนี้ทุกครั้งที่ใช้ฉันจะต้องป้อนข้อความรหัสผ่านอีกครั้ง หากเป็นเช่น "อืมอีกอันที่ต้องแก้ไข" มันจะเตือนฉันทุกครั้งที่ฉันต้องหมุนกุญแจของฉันบนเครื่องนั้นด้วย

— womble
แหล่งที่มา

ในเรื่องนี้มันอาจจะมีประโยชน์ (ขึ้นอยู่กับ distro / DE) เพื่อย้ายไฟล์ไปยังไดเรกทอรีอื่นม้าน้ำเช่นใช้กุญแจทั้งหมดใน~/. sshโดยอัตโนมัติ

— guntbert

1

สิ่งใดก็ตามที่ต้องทำให้ถูกไฟไหม้ หมายความว่าช่วงเวลาที่คุณมีปุ่มมากกว่าหกปุ่ม (ฉันมีสองสามโหล) คุณจะล้มเหลวในการตรวจสอบสิทธิ์เนื่องจากความล้มเหลวมากเกินไป (ทุกปุ่มที่นำเสนอและปฏิเสธการนับต่อจำนวนที่ล้มเหลว)

— womble

5

คุณสามารถย้ายคีย์ ssh เก่าไปยังตำแหน่งที่ไม่ใช่ค่าเริ่มต้น (เช่น ~ / .ssh / deprecated_id_rsa) แล้วสร้างคีย์ ssh ใหม่พร้อมคุณสมบัติที่คุณต้องการที่ ~ / .ssh / id_rsa

ด้วยวิธีนี้คุณยังคงมีคีย์ที่เลิกใช้แล้วหากจำเป็นssh -i ~/.ssh/deprecated_id_rsa ...แต่คุณจะใช้รหัสใหม่เป็นค่าเริ่มต้น

— นิ้วเท้า
แหล่งที่มา