servidor SFTP: ¿deberíamos evitar los cambios de clave de host SSH?

  

¿Es malo cambiar la clave de host SSH o hay un beneficio de seguridad al cambiarla?

Deberías cambiarlo principalmente si se ha comprometido. Ejemplos de tales compromisos: un empleado que podría tener conocimiento de ello es despedido o abandona la empresa por cualquier motivo, usted tuvo que dejar que un técnico de soporte externo administre la máquina.

Podría cambiarlo de manera oportuna, pero debería tener un certificado de por vida típico, en mi humilde opinión, varios años. Eso permitiría recopilar un posible adjunto no revelado

  

¿Es válido suponer que la clave de host SSH no está relacionada con los cambios del certificado FTPS / SSL?

AFAIK, sí

  

¿Debería considerar el cambio inesperado de la clave de host SSH como un error en el software utilizado?

Consideraría que como un defecto en los procedimientos administrativos: la clave debe archivarse para que pueda restaurarse después de una reinstalación (eventualmente parcial)

  

¿Deberíamos controlar nuestra propia clave de host SSH en los cambios?

Un cambio de la clave de host SSH nunca debe ocurrir por accidente . Eso significa que el cambio debe estar preparado y todos los usuarios deben advertirlo un tiempo antes y el día en que se realice. El cambio debe anotarse en el registro operativo.

El beneficio de cambiar la clave privada SSH es que cualquier persona que (inesperadamente) haya obtenido esta clave ya no puede usarla para leer su tráfico o convertirse en un hombre en el medio.

Ese es el único beneficio que se me ocurre.

Dado que SSH no funciona en el régimen PKI (las claves públicas de SSH no están certificadas por las autoridades de certificados públicas de confianza, a diferencia de SSL / TLS), cada cambio de la clave privada de SSH en un servidor requiere una comunicación a todos los clientes para autenticar el Nueva llave para ellos. Los clientes generalmente "fijan" (recuerden) las claves públicas exactas permitidas para un solo servidor y autenticar una nueva clave pública es una acción humana. La autentificación de una clave antigua es otra acción humana . Algunos de los clientes son scripts que generalmente están enterrados en profundidad, sin modificaciones durante meses o años, y que un servidor determine cómo contactar a sus mantenedores humanos es otra tarea manual.

De la siguiente manera, el cambio de la clave SSH debe ser visible para los administradores del servidor, de lo contrario es un error. Y necesita una solución alternativa (como el monitoreo diario) si tiene este error.

Es válido suponer que la clave privada SSH no está relacionada con el certificado FTPS

Es válido suponer que la clave privada SSH está sutilmente relacionada con la clave privada FTPS. Si cambia esto último, es bastante obvio suponer que cree que se enfrenta a una violación de la seguridad. Es probable que la misma infracción también filtre una clave privada SSH. Pero aún así, las claves están separadas, por lo que cambiar automáticamente la clave privada SSH es un rebasamiento, realmente.

Nota al margen: normalmente, puede tener varios certificados SSL / TLS para la misma clave privada SSL / TLS. La clave privada no tiene un campo de fecha de caducidad. Si genera una nueva clave privada, necesita un nuevo certificado firmado por una CA de confianza pública.

En otras palabras, cuando vuelva a generar el certificado SSL / TLS, puede mantener la clave SSL / TLS antigua. Muchos administradores inexpertos no lo saben.