ผู้ใช้ / โฮสต์มีความสำคัญอะไรในตอนท้ายของการเก็บไฟล์กุญแจสาธารณะ SSH


73

ฉันไม่สามารถทราบได้ว่าเหตุใดไฟล์กุญแจสาธารณะของ SSH ที่สร้างโดยssh-keygenมีผู้ใช้และโฮสต์ในตอนท้าย

ตัวอย่าง: id_rsa.pub

ssh-rsa ... rest of file ... /CA9gyE8HRhNMG6ZDwyhPBbDfX root@mydomain

แจ้งให้ทราบroot@mydomainในตอนท้ายของไฟล์

หากฉันสามารถใช้พับลิกคีย์ที่ใดก็ได้กับผู้ใช้เพื่อพิสูจน์ตัวตนโดยใช้ไพรเวตคีย์รูท @ mydomain มีความสำคัญอะไรในกระบวนการตรวจสอบสิทธิ์

หรือมันเป็นเพียงผู้ถือสถานที่ที่จะคิดว่าใครเป็นคนออกมา?


2
ฉันเคยเห็นรูปแบบเว็บที่น่ากลัวซึ่งต้องใช้ฟิลด์ความคิดเห็นรวมถึงสัญลักษณ์ @ แต่ไม่มีเหตุผลทางเทคนิคสำหรับเรื่องนี้
ลูกไก่

คำตอบ:


106

ฟิลด์นี้เป็นความคิดเห็นและสามารถเปลี่ยนแปลงหรือเพิกเฉยได้ มันถูกตั้งค่าให้เป็นค่าเริ่มต้นโดยuser@hostssh-keygen


1
สรุปและตรงประเด็น ความสามารถในการเปลี่ยนความคิดเห็นที่จะแก้ไขปริศนาสำหรับฉัน ฉันคิดว่ามันมีบทบาทบางอย่างในกระบวนการตรวจสอบสิทธิ์ของ ssh
โหระพา

2
@BasilA ฉันมีกุญแจบางส่วนที่ฉันได้ลบออกทั้งหมด
Michael Hampton

3
เมื่อตั้งค่าการเข้าสู่ระบบคีย์ SSH เป็นอินสแตนซ์บนGoogle Cloud Compute GCC ใช้ฟิลด์ความคิดเห็นนี้เพื่อระบุชื่อผู้ใช้ในอินสแตนซ์ที่จะเชื่อมโยงคีย์
hBy2Py

53

นี่คือคำอธิบายสั้น ๆ ในหน้าคู่มือสำหรับsshd(8)ในส่วนเกี่ยวกับคีย์ที่ได้รับอนุญาต:

พิธีสาร 2 คีย์สาธารณะประกอบด้วย: ตัวเลือก , keyType , คีย์เข้ารหัส base64comment ,

ในopensshบริบทของคีย์ที่ได้รับอนุญาตมีความหมายของความคิดเห็นเท่านั้น แต่มีการนำ SSH ไปใช้ซึ่งให้ความหมายกับส่วนนี้ตัวอย่างเช่นการติดตั้ง SSH ในโมเด็ม LANCOM กำลังใช้ความคิดเห็นนี้เป็นชื่อผู้ใช้ที่ใช้คีย์ได้


6
+1 สำหรับการอ้างถึงผู้ชาย
mgarciaisaia

17

ตามที่คนอื่น ๆ ได้ชี้ให้เห็นมันเป็นความคิดเห็นที่ช่วยให้คุณสามารถระบุคีย์ที่เป็น

เมื่อดูที่คีย์เดียวเช่นid_rsa.pubมันไม่ได้สร้างความแตกต่างอย่างมาก แต่เมื่อดูรายการของคีย์ที่มีความยาวเช่นสิ่งที่คุณมีในauthorized_keysไฟล์มันมีประโยชน์มากที่จะสามารถระบุคีย์ได้อย่างง่ายดาย เป็นสิ่งที่

นอกจากนี้ssh-keygenค่าเริ่มต้นของก็คือuser@hostnameซึ่งสำหรับกรณีการใช้งานทั่วไปนั้นเป็นตัวระบุที่ชัดเจนว่าคีย์ใดเป็น ( user@domainจะไม่เป็น)


5

ง่ายมาก: ฉันและคุณเป็นมนุษย์ที่ใช้เครื่องจักร ดังนั้นเมื่อดูตัวอย่างนี้คุณโพสต์:

ssh-rsa [piles of gobbledygook]…CA9gyE8HRhNMG6ZDwyhPBbDfX root@mydomain

เครื่องสามารถอ่านสิ่งนี้:

ssh-rsa [piles of gobbledygook]…CA9gyE8HRhNMG6ZDwyhPBbDfX

มนุษย์สามารถอ่านความคิดเห็นนี้:

root@mydomain

ผู้คนมักจะลืมว่าถึงแม้สิ่งที่อาจดูซับซ้อนในระบบคอมพิวเตอร์ที่พวกเขาจริงอาจจะตันที่ซับซ้อนมากขึ้นถ้ารหัสถูกออกแบบมาเฉพาะสำหรับการบริโภคเครื่อง ฉันหมายถึงดูรหัสมัลแวร์ที่คลุมเครือ เมื่อคุณถอดรหัสและจัดรูปแบบมันเป็นมนุษย์อ่านได้ แต่มีคนต้องออกไปให้พ้นยากที่มนุษย์จะอ่าน

โดยค่าเริ่มต้นไฟล์การเข้ารหัสและการกำหนดค่าทุกประเภทในระบบคอมพิวเตอร์เป็นโครงสร้างสำหรับการบริโภคของมนุษย์เพราะ ... เราเป็นมนุษย์ที่ใช้เครื่องจักรและเครื่องไม่ต้องการสิ่งต่อไปนี้:

  • ความคิดเห็น
  • รอยบุ๋ม
  • ตัวแปรและฟังก์ชั่นที่เขียนด้วยภาษาที่มนุษย์อ่านได้

ดังนั้นความคิดเห็นมีความหมายสำหรับคุณและฉันและไม่มีใครอื่น มันน่าจะทำงานได้โดยไม่มีความคิดเห็น แต่มีบางครั้งที่บางสิ่งบางอย่างไม่ทำงานเวลา 3:00 น. และคุณกำลังค้นหากุญแจสาธารณะที่ถูกต้องคุณจะต้องการ / ฝัน / อธิษฐานความคิดเห็นที่นั่น


7
"เครื่องจักรไม่ต้องการสิ่งต่าง ๆ ... เยื้อง" ไอ Python แก้ไอ
CVn

1
@ MichaelKjörling "... เว้นแต่พวกเขาจะสนใจพวกเขา" :-)
hBy2Py
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.