claves SSH - política de contraseñas - ¿la frase de contraseña puede ser igual a la contraseña?

Primero, debes buscar en ssh-agent y en la opción ssh -A (ForwardAgent).

Esto podría simplificar un poco su vida porque le permite desbloquear las teclas en la terminal en la que está trabajando, pero usarlas en ubicaciones remotas.

En segundo lugar, recomendaría que su clave-contraseña not sea la misma que su contraseña de inicio de sesión. Tener la clave y la contraseña igual que su contraseña de inicio de sesión significa que un atacante (o un mal actor) que obtiene su contraseña de inicio de sesión obtiene acceso a all sus máquinas.

Probablemente sea una buena idea tener diferentes contraseñas de inicio de sesión para cada máquina.

Probablemente no sea útil tener una clave diferente para cada máquina. Tener una sola clave que autorice todas sus máquinas es probablemente su mejor apuesta para una configuración inicial.

Open-SSH ahora tiene certificados de soporte si desea un control más preciso, sin embargo, es más complicado de configurar, por lo que le recomendamos que comience con la configuración simple inicialmente.

• Use algún tipo de gestión de identidad / LDAP si planea aumentar la cantidad de máquinas. Almacenar claves privadas en máquinas remotas a las que no tiene acceso físico nunca es una buena idea.

• Puede usar simplemente un solo par de llaves para cada máquina desde la que se está conectando. En este caso no obtendrás el crecimiento exponencial. Si una máquina se ve comprometida, puede borrar la clave pública correspondiente de las otras máquinas para "cortarla" (IdM puede hacerlo centralmente)

• Introducir algo de lógica en las contraseñas / frases de contraseña siempre es malo. Se basa en que el atacante no conoce la lógica (seguridad a través de la oscuridad). En su caso, si el atacante conociera una contraseña para una de sus máquinas, tendría la mitad de las contraseñas para todos sus sistemas: el ataque fuera de línea es más rápido que en línea.

• Frase de contraseña no es una contraseña, ya que el nombre intenta señalar. Debería ser mucho más largo que la contraseña normal (duplicar el tamaño con dos contraseñas es bastante el límite inferior para la frase de contraseña).

Varias opciones:

1. Si usa una sola estación de trabajo para acceder a todas las máquinas, puede usar un par de teclas para iniciar sesión desde cualquier máquina a cualquier máquina de forma interactiva. Debe configurar un Agente de reenvío ssh, que le permite autenticarse desde una máquina sin transferir su clave. La autenticación y la firma se realizan en su estación de trabajo

2. Designe una de las máquinas como servidor de salto. El servidor de salto es su punto de acceso a todas las otras máquinas y tiene su clave cifrada. Para iniciar sesión en cualquier máquina, primero inicie sesión en el servidor de salto y use la clave que mantiene en el servidor de salto para iniciar sesión en otras máquinas. Si elige esta solución, es posible que desee aplicar un filtro de firewall / IP para que solo pueda acceder a las otras máquinas desde el servidor de salto

3. Si es móvil y necesita iniciar sesión desde diferentes máquinas, desea mantener su clave con usted. Puede comprar una tarjeta inteligente OpenPGP / token USB y configurar SSH para autenticar usando la tarjeta inteligente / llave USB. Por ejemplo: enlace

4. Puedes configurar certificados SSH. Instale un certificado raíz en cada máquina, y las máquinas confiarán en las claves firmadas por el certificado raíz. Por ejemplo: enlace