Dois-je sauvegarder mes clés d'hôte SSH?

8

Dans mes sauvegardes automatisées, je ne sais pas si je dois le faire. Si le disque dur tombe en panne ou si j'essuie le disque dur et recommence, quel sera l'effet du démarrage avec une nouvelle clé d'hôte SSH pour mes clients? Dois-je faire autre chose que de supprimer le nom de l'hôte du known_hostsfichier de chaque client ? Quelle est la meilleure chose à faire dans ce cas? J'ai l'intention d'essuyer mon ordinateur et de recommencer à zéro dans les prochains jours.

ssh security backup openssh Naftuli Kay
la source

Réponses:

10

Si vous réinstallez le système d'exploitation sur votre ordinateur, mais que vous considérez qu'il s'agit toujours du «même» ordinateur, vous devez sauvegarder la clé privée SSH et la restaurer après l'installation. Si vous réutilisez le même matériel pour créer un système différent, vous devez générer une nouvelle clé pour le nouveau système. Décider s'il s'agit toujours du même ordinateur est une décision sémantique, c'est donc à vous de décider; la restauration ou la régénération de la clé SSH est la mise en œuvre de cette décision.

Si vous êtes la seule personne à accéder à cet ordinateur, cela n'a pas beaucoup d'importance. Si vous avez d'autres utilisateurs, la modification de la clé SSH entraînera des problèmes:

  • Les quelques utilisateurs qui sont à la fois soucieux de la sécurité et bien informés craindront que quelque chose de mauvais se produise et essaieront de vous contacter hors bande pour vous avertir qu'ils peuvent être attaqués.
  • Les quelques utilisateurs qui sont bien informés mais pas si paranoïaques supprimeront l'ancienne clé SSH pour se débarrasser du message d'erreur et se plaindront de la modification de la clé par l'administrateur système.
  • La majorité des utilisateurs qui ignorent les messages vont juste voir qu'ils ne peuvent pas se connecter et peuvent vous contacter pour obtenir de l'aide.
Gilles 'SO- arrête d'être méchant'
la source
Comment puis-je sauvegarder la clé privée ssh? Je
prévois
@Lykos Ce n'est qu'un fichier (un fichier par algorithme, en fait, et sauvegardez le fichier de clé publique pour plus de commodité même s'il peut être reconstruit à partir du fichier de clé privée). Habituellement situé à /etc/ssh_host_*_key*ou/etc/ssh/ssh_host_*_key*
Gilles 'SO- arrête d'être méchant'
Je ne sais pas si je comprends correct, mais je peux le faire cat ~/.ssh/id_rsa.pubet cat ~/.ssh/id_rsa.pubet copier le contenu dans un fichier txt comme un retour?
ltdev
@Lykos Ce sont des clés publiques d'utilisateur, qui n'ont rien à voir avec cette question particulière. Je ne sais pas ce que vous voulez faire, mais la chose la plus importante est généralement de sauvegarder les clés privées. Ne confondez pas les clés d'hôte et les clés d'utilisateur (je suis sûr que nous avons une ou trois questions sur le sujet).
Gilles 'SO- arrête d'être méchant'
2

À moins qu'un monde de personnes ne se connecte à votre système en dehors de vous et que vous souhaitiez que le changement de leur service soit aussi ininterrompu que possible, il est probablement aussi bien que vous créiez de nouvelles clés d'hôte. Si vous effacez un système et recommencez à zéro, ce n'est vraiment pas le même système qu'avant et vos clients ssh auront raison de vous informer que le système a changé. Si vous n'avez aucun verrouillage fou en vigueur si vous ne pouvez pas vous connecter à de nouveaux hôtes, cela devrait être une question facile de mettre à jour le fichier d'hôtes connu.

Caleb
la source