it-swarm.com.de

SSH-Schlüsselauthentifizierung mit mehreren Computern

Ich habe über die SSH-Schlüsselauthentifizierung gelesen und sie mit meinen 3 Computern zu Hause eingerichtet.

Ich habe einen Hauptcomputer, nenne ihn "A", und zwei andere nennen sie "B" und "C".

Basierend auf der Dokumentation, die ich gelesen habe, würde ich ssh-keygen auf B und C ausführen und die öffentlichen Schlüssel auf Computer A ablegen, vorausgesetzt, ich werde immer SSH auf Computer A ausführen, wenn ich auf B oder C bin.

Ich denke jedoch, dass in den Dokumentationsbeispielen, die ich gelesen habe, davon ausgegangen wird, dass nur 1 Heimcomputer mit einem anderen externen Computer verwendet wird. Ist es in meiner Situation sinnvoll, ssh-keygen nur auf einem Computer auszuführen und die Dateien auf die anderen zu kopieren? Auf diese Weise muss ich nur einen Schlüsselsatz sichern? Und wenn ich mich bei einem externen Computer anmelde, muss ich ihn nur mit 1 Schlüsselsatz einrichten und nicht mit allen drei Computern.

Macht das Sinn? Irgendwelche Mängel oder Warnhinweise zu beachten?

Vielen Dank.

22
linstar

Sie können theoretisch beide Wege gehen, aber jeder hat seine Vor- und Nachteile:

Sie können in der Tat nur einen Schlüssel erstellen, sagen, er gehört "Ihnen" (als Person), ihn irgendwo sichern und auf einen beliebigen Computer kopieren, den Sie verwenden. Der Vorteil ist, dass Sie von überall aus eine Verbindung zu A herstellen können, solange Sie über Ihren privaten SSH-Schlüssel verfügen. Der Nachteil ist, dass Sie, solange Sie Ihren privaten Schlüssel von einem Ort an einen anderen kopieren, das Risiko erhöhen, dass er von jemandem gelesen wird, der die Verbindung abhört. Schlimmer noch, wenn Computer C gestohlen wird, müssen Sie auf allen Computern, die diesen Schlüssel verwenden, einen neuen Schlüssel neu generieren und einen neuen verteilen.

Auf der anderen Seite hat die Verwendung von 1 Schlüssel pro Benutzer @ Computer den Vorteil einer besseren "Feinsteuerung" über "Was" kann "Wo" verbinden. Dies ist der häufigste Weg.

Wenn Sie beispielsweise Ihrem Bruder/Ihrer Schwester/Frau/Ihrem Ehemann/Freund/Hund oder einem Dieb (ohne Ihre Zustimmung) Computer C geben würden, müssten Sie nur den Schlüssel aus den autorisierten Schlüsseln von A entfernen. Datei.

Selbst wenn es "mehr Schlüssel in autorisierten Schlüsseln" bedeutet, schlage ich den zweiten Ansatz vor.

30
mveroone

Die Verwendung der gleichen Schlüssel auf allen drei Computern ist definitiv machbar - ich mache es die ganze Zeit, hauptsächlich aus Bequemlichkeitsgründen.

Kwaio weist richtig darauf hin, dass dies das Risiko erhöht, dass Ihre Schlüssel kompromittiert werden. Eine mögliche Lösung wäre die Trennung der privaten und öffentlichen Schlüsselkomponenten. Damit:

  • Alle Computer haben Ihren öffentlichen Schlüssel in der Datei authorized_keys.
  • Sie behalten 2 Kopien Ihres privaten Schlüssels. Einer befindet sich in einem USB-Stick um den Hals (um ihn zu verwenden, wenn Sie mit ssh auf einen anderen Computer zugreifen), und der andere befindet sich irgendwo in einem USB-Stick in einem Safe (nur für den Fall, dass Sie die erste Kopie verlieren).

Wenn einer Ihrer Computer gestohlen wird oder Ihr öffentlicher Schlüssel anderweitig kompromittiert wird, handelt es sich nur um einen öffentlichen Schlüssel.

Wenn Ihr privater Schlüssel gestohlen wird oder verloren geht, erstellen Sie sofort ein neues Schlüsselpaar und aktualisieren die öffentlichen Schlüssel auf allen Ihren Computern.

HTH.

3
ALAN WARD