Tengo 2 servidores Ubuntu 14.04 con openssh-server instalado en ambos.
He configurado la autenticación basada en claves utilizando claves RSA, sin frase de contraseña, para poder ejecutar scripts de copia de seguridad automatizados, en un sitio remoto, con rsync.
Normalmente hago el intercambio de claves a través de una red LAN, mientras que el inicio de sesión basado en contraseña todavía está habilitado, luego deshabilito la contraseña solo ssh, antes de llevar el servidor remoto a su ubicación externa. Por lo tanto, todos los usuarios inician sesión a través de las claves con frase de contraseña, y los scripts automatizados usan claves sin frase de contraseña.
Para compartir claves, uso el comando ssh-copy-id .
Todos los comandos para uso externo utilizan un puerto alto no estándar en el módem / enrutador externo, reenviado al enrutador en la subred, que luego NAT se dirige al puerto estándar 22 en el servidor remoto.
Si quisiera agregar una nueva clave de usuario, podría usar un usuario actual para habilitar el inicio de sesión solo con contraseña, lo que permitiría usar ssh-copy-id (ya que requiere la contraseña del usuario. Después de usar ssh-copy-id para establecer hasta ssh basado en clave, deshabilitaría el inicio de sesión basado en contraseña más adelante.
¿Existe algún riesgo al usar ssh-copy-id a través de una conexión a Internet?