¿Tenemos alguna forma estándar de cifrar las claves de host SSH (como /etc/ssh/ssh_host_rsa_key )? Si no, ¿por qué se almacena en texto plano? ¿No es información sensible?
¿Tenemos alguna forma estándar de cifrar las claves de host SSH (como /etc/ssh/ssh_host_rsa_key )? Si no, ¿por qué se almacena en texto plano? ¿No es información sensible?
La parte privada de la clave de host es necesaria en el inicio de sshd. Sería un inconveniente requerir que un superusuario ingrese la contraseña cada vez que se inicie sshd. Obviamente, almacenar la frase de contraseña en algún lugar y pasarla a través de configuraciones simplemente movería el problema a otra parte.
La seguridad de la clave privada se basa en los permisos del sistema de archivos. No hay necesidad de ir más lejos, ya que un atacante con acceso de raíz a una máquina podría crear nuevas claves de host de forma involuntaria, sobrescribiendo las claves protegidas con frase de contraseña que tenga instaladas.
Lea otras preguntas en las etiquetas ssh file-encryption openssh key