clave de host SSH: ¿Es la pública necesaria y debe estar protegida por contraseña?

0

Estaba jugando con mi configuración del lado del servidor SSH sshd_config . Reemplazé mis claves de host SSH predeterminadas con solo una clave RSA mientras estoy usando Protocol 2 y solo con autenticación de clave.

ssh-keygen -f /etc/ssh/ssh_host_rsa_key -N '' -t rsa

Esto crea como se espera dos archivos

ssh_host_rsa_key
ssh_host_rsa_key.pub

Durante las pruebas descubrí que no es necesario tener la clave pública para establecer una conexión desde el cliente.

  1. ¿Cuándo es necesaria la clave pública?

  2. Además, no pude determinar por qué es necesario proteger la contraseña de la clave privada.

pregunta codekandis 21.10.2018 - 21:34
fuente

1 respuesta

1

Q2. Las teclas sshd host no deben estar protegidas por contraseña. Si lo son, sshd no puede leerlos (a menos que configure un agente de host y lo cargue, lo cual es raro). Esto se debe a que sshd está diseñado para ejecutarse en segundo plano y no puede obtener la (s) contraseña (s) del usuario, especialmente porque generalmente se inicia automáticamente en el arranque antes de que cualquier usuario haya iniciado sesión. En su lugar, los archivos para las claves de host sshd deben estar protegidos contra el acceso por cualquier ID de usuario que no sea el que ejecuta sshd , normalmente root, y esa ID de usuario debe estar bien protegida y no debe usarse innecesariamente.

Q1. sshd no necesita un archivo .pub separado porque puede calcular automáticamente la publicación desde la clave privada. En contraste, el cliente ssh (a menos que use un agente) por lo general quiere usar la publicación para una 'sonda' de userauth antes que solicita la contraseña para usar realmente la clave privada, y esto requiere un archivo .pub aparte, excepto cuando se usa el archivo de claves de "nuevo formato" de OpenSSH, que se requiere para Ed25519 desde IIRC 6.5, y el valor predeterminado para las claves todas desde 7.8 hace aproximadamente un mes. Como ssh-keygen no sabe lo que desea, siempre genera un archivo .pub , que no hace daño si no es necesario, incluso si no está protegido, ya que es público.

    
respondido por el dave_thompson_085 22.10.2018 - 11:47
fuente

Lea otras preguntas en las etiquetas