Abbiamo un modo standard per crittografare le chiavi dell'host SSH (come /etc/ssh/ssh_host_rsa_key
)? In caso contrario, perché viene memorizzato in testo normale? Non sono informazioni sensibili?
Abbiamo un modo standard per crittografare le chiavi dell'host SSH (come /etc/ssh/ssh_host_rsa_key
)? In caso contrario, perché viene memorizzato in testo normale? Non sono informazioni sensibili?
La parte privata della chiave host è necessaria all'avvio di sshd. Sarebbe scomodo richiedere a un superutente di inserire la passphrase ogni volta che viene avviato sshd. Ovviamente, archiviare la passphrase da qualche parte e passarla attraverso i configs porterebbe semplicemente il problema altrove.
La sicurezza della chiave privata si basa sulle autorizzazioni del file system. Non c'è bisogno di andare oltre, poiché un utente malintenzionato con accesso root a una macchina potrebbe semplicemente creare nuove chiavi host volenti o nolenti, sovrascrivendo qualsiasi chiave protetta da passphrase che è stata installata.
Leggi altre domande sui tag ssh file-encryption openssh key