Безопасно ли загружать ваш открытый ключ openssh в ~/.ssh/ для данного пользователя?

Question

Безопасно ли загружать ваш открытый ключ openssh в ~/.ssh/ для данного пользователя?

Мне нравится загружать мой открытый ключ (например, ~/.ssh/id_rsa.pub) на различные серверы, к которым я подключаюсь в различных сетях для работы. Я использую этот же открытый ключ на Github. Если я нахожусь в общей учетной записи пользователя и положил туда свой открытый ключ, может кто-то просто взять его и сделать с ним что-то неблагоприятное? Разве это не мудрая идея, чтобы просто иметь 1 открытый ключ, который вы разделяете между несколькими серверами?

5

ssh public-key-encryption

Источник

Zombies 01 авг '14 в 19:02

1 ответ

Другие вопросы по тегам ssh public-key-encryption

a CVn 01 авг '14 в 19:11 2014-08-01 19:11 · Answer 1 · 2014-08-01 19:11

Открытый ключ предназначен для раскрытия удаленным системам. Поэтому, если ваша пара ключей имеет достаточную длину, загрузка открытого ключа на удаленные хосты безопасна. Только ваш закрытый ключ должен быть защищен, и это обычно делается с использованием средств доступа к файлам операционной системы, а также парольной фразы.

Тем не менее, использование одной и той же пары ключей для нескольких хостов затрудняет замену, если этот ключ когда-либо скомпрометирован, или даже если вы просто хотите регулярно заменять его для поддержания надлежащей гигиены безопасности.

Пока все идет хорошо, не будет проблемой использовать одну и ту же пару ключей для нескольких хостов или служб, но если у вас нет особой необходимости делать это таким образом, я бы предложил использовать разные пары ключей для каждого хоста и / или сервис. Вы можете указать, какой файл ключей следует использовать для каждого хоста, через ~/.ssh/config (см. man ssh_config) И его Host а также IdentityFile директивы (при условии OpenSSH; у других клиентов есть разные способы выполнить одно и то же).

И если вы работаете с общей учетной записью пользователя, лоббируйте, чтобы это исправить. Совместно используемые учетные записи делают практически невозможным надлежащую защиту доступа и данных, а также позволяют узнать, кто что-то сделал. На самом деле, я бы сказал, что есть ваша проблема - не использовать пару ключей SSH для нескольких хостов. Существует очень мало вопросов, на которые ответом являются общие учетные записи пользователей.