¿Teclas ssh específicas del servidor vs?

1

Esta pregunta tiene algo que ver con el procedimiento. ¿Es mejor para una persona tener un solo par de claves ssh y compartir la clave pública cuando sea necesario? Alternativamente, ¿es mejor tener claves específicas del servidor? O quizás menos restrictivas tengan clases o anillos de llaves. Una clave para servidores domésticos personales, una para el trabajo, otra para elementos externos como github.

La desventaja de una clave en todas partes es que le permite un seguimiento fácil y la misma clave pública conecta los puntos entre los servicios. La revocación es rápida pero absoluta. Se tiene más control finito cuando tiene un par de claves por servidor, pero se vuelve mucho más difícil de administrar. ssh se descompone cuando hay muchas teclas ssh y necesita configurar su archivo .ssh / config para que todos y cada uno de los sitios solucionen esto. es mucho trabajo.

Entonces, ¿cuáles son las mejores prácticas?

    
pregunta Biff 19.01.2015 - 01:38
fuente

1 respuesta

2

Tu pregunta es bastante amplia y no muy específica. Es difícil dar consejos sobre generalidades, ya que las recomendaciones serían diferentes para diferentes personas.

Como en la mayoría de las preguntas de seguridad, comience con " ¿Qué están protegiendo? ¿De ¿A quién ? ¿Cuáles son las consecuencias de perder esto?".

Aquí hay algunos puntos de partida:

  • ¿Tienes varias personas que quieres mantener separadas? p.ej. Sr. Anderson Vs Neo . Si este es el caso, necesitarás diferentes pares de claves para cada una de estas personas.
  • ¿Necesita llaves para el trabajo y personal? Si es así, estos deben ser pares de claves diferentes, ya que su compañía puede considerar que su clave es su propiedad y puede revocarla una vez que deje la compañía.
  • ¿Te importa que tus actividades estén correlacionadas entre servidores? Para mí, personalmente, el carácter cruzado es más importante que el servicio cruzado. No me importa que mis identidades de GitHub / Souceforge / Stackexchange estén correlacionadas, pero sería una pena si se demostrara que era The Dread Pirate Roberts . Si es así, necesita diferentes pares de claves para cada uno de estos servicios.

Como usted dice, cada tecla que mantiene aumenta la cantidad de esfuerzo que necesita para mantenerlas. Esto también plantea la posibilidad de usar la clave equivocada en el lugar equivocado y conectar accidentalmente sus diferentes claves.

El escenario más probable que puedo ver sería alguien con 3 personas, [profesional, personal público, personal privado]. Me sentiría inclinado a seguir utilizando máquinas separadas para uso personal y profesional, de modo que mis claves privadas personales nunca toquen las computadoras de mi trabajo y mis claves privadas nunca toquen mis computadoras personales. Luego, dependiendo de las consecuencias de vincular personal personal y personal privado, yo: o bien:

  • Mantenga las claves en cuentas separadas de la misma máquina (consecuencias bajas)
  • Mantenga la clave privada "pública personal" en la máquina y la clave privada "privada personal" en un dispositivo USB encriptado, solo conéctela cuando haga cosas privadas (consecuencias medias).
  • Tenga un Tails OS o similar para su trabajo privado. Una vez más "personal privado" en una memoria USB cifrada. (consecuencias medias-altas)
  • Máquina espaciada por aire dedicada, segura físicamente y algo de suerte (consecuencias altas)
respondido por el David Waters 19.01.2015 - 02:48
fuente

Lea otras preguntas en las etiquetas