我应该在每个系统上创建一个新的私有ssh密钥吗?

Modified on: Thu, 22 Aug 2019 03:40:02 +0800

我需要通过SSH连接多台设备的多台服务器。我想知道我是否应该在我连接的每个设备上创建一个新的id_dsa文件,或者如果没有问题将相同的id_dsa文件复制到每个设备。

例如,我有我的主要基于Ubuntu的桌面系统和带有ssh的MacBook Pro。我有一个安装了Putty的基于Windows的上网本。我有一个带ConnectBot的Android手机。从这些设备中的任何一个,我可能需要SSH到几十个不同的物理和虚拟服务器。

每个服务器都需要安装我的公钥。此外,我的GitHub和Codaset帐户需要我的公钥。

为了简化密钥管理,我想在所有这些系统上使用相同的私钥。这是常见的做法,还是在每个系统上都有一个私钥更好?

作者:EEAA,Tauren

最佳答案

如果您在每个系统上使用相同的公钥并且私钥被泄露,则可以访问使用该密钥的任何系统,除非有其他限制。

我相信您使用的是受密码保护的私钥?

在我们的管理实践中,我们拥有低,中,高安全性“角色”。每个角色使用不同的密钥。高安全性私钥永远不会传输到外部资产,用于可能丢失/被盗的笔记本电脑等。可以在更广泛的场景中部署中低安全密钥。

我建议检查您的使用模式,看看在安全角色方面的成就。获取私钥会造成什么损害?

您是否考虑过将您的SSH私钥放置在无法被盗的硬件设备上,将密钥的潜在危害转移到非问题中?

硬件安全模块和智能卡均可用于以安全的方式存储SSH私钥,从而使所有加密操作都可以在设备上执行,而不是在操作系统上执行。但是,它们不是灵丹妙药,因为在硬件发生故障时,它们也需要备用硬件设备。


相关问答

添加新评论