Ma clé SSH est-elle associée à moi en tant qu'être humain ou à mon compte d'utilisateur sur une seule machine?

11

Au cours des derniers jours, j'ai essayé de me familiariser avec SSH et j'espère l'avoir compris.

Une question demeure cependant: ma clé est-elle associée à moi (en tant qu'utilisateur) ou à mon compte utilisateur sur la machine?

ssh Graslandpinguin
la source

Réponses:

8

Vous n'avez pas de clé, vous avez une paire de clés. La façon dont vous gérez chacun est très différent. Votre clé publique peut être publiée sur Twitter et partagée avec le monde entier (y compris les escrocs). Votre clé privée doit être soigneusement protégée.

J'ai la même clé publique sur tous les serveurs auxquels j'accède via SSH.

Je garde la même clé privée sur les deux ordinateurs de bureau et un netbook que j'utilise pour accéder à ces serveurs. Je garde également la clé privée sur une clé USB pour l'utiliser sur les PC d'autres personnes (sans la copier sur leur PC). J'utilise une phrase de passe forte pour protéger la clé privée. Il n'y a aucune raison pour laquelle vous ne pouvez pas simplement conserver la clé privée sur un lecteur USB uniquement (et nulle part ailleurs).

RedGrittyBrick
la source
2
Nulle part ailleurs? Vous devez cependant conserver une sauvegarde (correctement sécurisée).
lumbric
8

Une clé privée représente votre identité. Le fait d'avoir des clés différentes sur différentes machines dépend de si vous considérez «moi sur la machine A» et «moi sur la machine B» comme la même identité.

Le principal avantage d'avoir une seule clé privée est la facilité de maintenance. Il vous suffit de déployer une seule clé publique sur tous les emplacements auxquels vous souhaitez vous connecter et vous pourrez vous y connecter où que vous soyez.

Le principal avantage d'avoir plusieurs clés privées est de limiter les dommages possibles si une clé est compromise.

Par exemple, si vous avez plusieurs machines physiquement sécurisées plus un ordinateur portable, il serait logique d'avoir une clé privée commune sur toutes ces machines physiquement sécurisées, mais une clé différente sur l'ordinateur portable. De cette façon, si l'ordinateur portable est volé, vous pouvez invalider la clé publique correspondante et toujours pouvoir vous connecter d'une des machines physiquement sécurisées à une autre.

Gilles 'SO- arrête d'être méchant'
la source
5

Pour ssh, une paire de clés (publique + privée) représente une identité unique. Vous conservez votre clé privée protégée sur les machines auxquelles vous faites confiance et que vous pouvez protéger. Vous placez vos informations de clé publique sur les machines auxquelles vous souhaitez pouvoir accéder à distance via l'authentification par clé.

Vous ne devez pas placer votre clé privée sur des machines auxquelles vous ne faites pas confiance - il suffit donc de copier .ssh / around pour prendre des risques.

Sur les machines auxquelles vous souhaitez vous connecter, vous placez une copie de votre clé publique dans un fichier spécifique (.ssh / authorized_keys généralement) qui permet à l'authentification d'avoir lieu. Donc techniquement, vous ne copiez des clés nulle part, vous copiez simplement le contenu de votre clé publique uniquement dans un fichier différent.

En supposant que vous ayez une machine en laquelle vous avez confiance et que vous souhaitez vous connecter à 12, vous mettriez vos informations de clé publique dans le fichier .ssh / authorized_keys sur 12 machines.

Plus tard, vous aurez peut-être une autre machine de confiance. C'est à vous de choisir si vous créez une nouvelle paire de clés publique / privée pour cette machine et copiez la clé publique dans les 12 fichiers .ssh / authorized_keys, ou si vous copiez votre clé privée sur la nouvelle machine (auquel cas vous ne faites rien avec les 12 autres machines). Cela dépend de la confiance que vous accordez aux différentes machines en question.

J'essaie d'avoir aussi peu de paires de clés que possible pour la sécurité que vous essayez d'atteindre.

Votre prémisse de base est correcte cependant, la paire de clés est plus liée à vous qu’à un compte (c.-à-d. Vous pouvez mettre la même clé publique dans 3 comptes sur un serveur et ensuite ssh à n'importe lequel d'entre eux depuis votre machine, avec seulement un clé privée unique).

EightBitTony
la source
1

Mon clavier est-il plus lié à moi (en tant qu'être humain) ou à mon compte d'utilisateur sur ma machine locale?

Les clés sont liées aux comptes d'utilisateurs auxquels vous choisissez de les installer.

Avez-vous la même clé sur tous vos ordinateurs que vous utilisez? Ou différents pour chaque machine?

Vous pouvez créer plusieurs clés pour chaque machine ou utiliser la même clé partout; C'est comme tu veux. Lequel fait peu ou pas de différence.

psusi
la source
«Faites ce que vous voulez» n'est pas si utile.
Eric Wilson
@FarmBoy, répondre directement à la question "de quelle façon ça marche" avec "ça peut être fait de toute façon" n'est pas une réponse inutile.
psusi
1
La question était plutôt `` de quelle manière cela devrait-il être fait '', donc si la réponse est `` cela peut être fait de l'une ou l'autre façon '', il serait préférable d'inclure les avantages des différentes approches et quelques suggestions sur la façon dont on pourrait prendre la décision.
Eric Wilson
@FarmBoy ce n'est pas ainsi que j'ai lu la question. Je l'ai lu dans quel sens EST-CE fait? Quant à la meilleure façon - cela ne fait aucune différence. Cela se résume littéralement à ce que vous ressentez.
psusi