Pourquoi Google recommande-t-il de supprimer les clés SSH de GCE pour des raisons de sécurité?

15

La référence ci-dessous à la documentation de Google n'est plus vraie.

Google recommande de supprimer les clés SSH de l'instance GCE pour sécuriser SSH. Cela n'a aucun sens pour moi. Les clés sont là pour une sécurité, non? Lorsque je retire les clés, SSHD cesse de fonctionner. Je manque probablement leur point. Quelqu'un peut-il expliquer ce que cela signifie:

Supprimer les clés d'hôte ssh

N'utilisez pas de clés d'hôte ssh avec votre instance. Retirez-les comme suit:

rm /etc/ssh/ssh_host_key
rm /etc/ssh/ssh_host_rsa_key*
rm /etc/ssh/ssh_host_dsa_key*
rm /etc/ssh/ssh_host_ecdsa_key*
Martin Prikryl
la source
2
Le document recommande l'activation StrictHostKeyCheckinget plus tard recommande de le désactiver. Je soupçonne que ce n'est pas un document très soigneusement édité. Mon conseil est de faire confiance à votre propre jugement et d'utiliser des clés d'hôte à moins qu'il n'y ait une bonne raison de ne pas le faire.
aecolley
@aecolley J'ai également remarqué cela. Je leur ai soumis une rétroaction. Va voir s'ils me reviennent.
Martin Prikryl
1
J'ai développé ci-dessous, mais cela se résume au contexte - la page que vous consultez donne des conseils pour créer de nouvelles images, pas pour sécuriser généralement une machine. Je vais mettre à jour les documents pour inclure plus de détails sur quand et pourquoi vous souhaitez supprimer vos clés d'hôte, car les raisons ne sont pas claires.
Benson

Réponses:

12

Le détail essentiel est que la page que vous avez référencée concerne la création d'une nouvelle image de machine Compute Engine. Plus précisément, lorsque vous créez une nouvelle image de machine virtuelle, vous voulez vous assurer qu'elle n'inclut aucune clé d'hôte. De cette façon, lorsque l'image est clonée et reconstituée dans une machine virtuelle réelle, le script de démarrage sshd reconnaîtra qu'il n'y a pas de clés d'hôte et en générera automatiquement de nouvelles. Ceci est souhaitable car avoir plusieurs machines utilisant la même clé d'hôte est une très mauvaise idée.

Donc, dans le cas général, ne supprimez pas vos clés d'hôte, mais si vous créez une nouvelle image, c'est une étape importante afin de garantir une relation un à un entre les clés d'hôte et les machines.

Benson
la source
1
Merci. C'est logique. Bien qu'une explication puisse aider. "N'utilisez pas de clés d'hôte ssh avec votre instance." est vraiment une formulation déroutante.
Martin Prikryl
Je suis entièrement d'accord - merci beaucoup de l'avoir signalé. J'ai en fait soumis une mise à jour aux documents pour clarifier le libellé qui, je pense, sera bientôt mis à jour.
Benson
1
Les documents mis à jour sont désormais en ligne: developers.google.com/compute/docs/images#removesshkeys
Benson
13

La seule raison possible à laquelle je peux penser est qu'ils veulent vous forcer à régénérer de nouvelles clés.
Comme ces clés ont été générées avant votre accès, elles peuvent ne pas être fiables.
Les supprimer et redémarrer sshdrégénérera les clés pour vous.
Cependant, le document ne le précise pas vraiment.

Il s'agit de pure spéculation et il serait préférable de les contacter et d'obtenir des éclaircissements à ce sujet.

truqueur
la source
4
Merci pour votre réponse. J'ai besoin de ssh sur le serveur pour redémarrer le sshd. Mais pour me connecter, je dois accepter la clé d'hôte du serveur "non approuvé". Donc, tout ce que je fais pendant cette session ne peut pas faire confiance. Même le redémarrage du sshd. Droite?
Martin Prikryl
1
Je suppose que la principale préoccupation serait que, pour une raison quelconque, un autre client obtient les mêmes clés que vous (remarque: cela ne leur permet pas d'accéder à votre instance, mais facilite l'attaque par l'homme du milieu). Si vous ne faites pas confiance au fournisseur de l'image, vous ne devez rien y exécuter (ils ont pratiquement un accès physique).
faker
1
IIRC Il y a eu des recherches qui montrent que la qualité de l'entropie dans certains systèmes, en particulier embarqués, mais qui peut également inclure certaines catégories de machines virtuelles démarrées récemment, n'est pas très élevée. Lorsque des clés publiques sont générées au premier démarrage, telles que les clés de clés d'hôte SSH, celles-ci peuvent être prévisibles.
HBruijn
@HBruijn Merci pour le commentaire. Mais les supprimer et laisser sshd les recréer au redémarrage ne les améliore pas. Vous devez télécharger le vôtre. Mais ce n'est pas couvert dans le document.
Martin Prikryl
1
J'ai envoyé un commentaire à Google. Va voir s'ils me reviennent.
Martin Prikryl