Chiavi ssh singole o specifiche del server?

Naviga le tue risposte
1

Questa domanda ha un po 'a che fare con la procedura. È meglio per una persona avere una sola coppia di chiavi ssh e condividere la chiave pubblica dove necessario. In alternativa è meglio avere chiavi specifiche del server? o forse meno restrittive hanno classi o anelli di chiavi. Una chiave per i server domestici personali, uno per il lavoro, uno per le cose esterne come github.

Lo svantaggio di una chiave in tutto il mondo è chiaramente quello che ti permette di essere facilmente rintracciato e la stessa chiave pubblica collega i punti tra i servizi. La revoca è rapida ma assoluta. Un controllo più limitato si ha quando si ha una coppia di chiavi per server, ma diventa molto più difficile da gestire. ssh si rompe quando ci sono molte chiavi ssh e devi configurare il tuo file .ssh / config per ogni sito per risolvere il problema. è molto lavoro.

Quindi quali sono le migliori pratiche?

    
posta Biff 19.01.2015 - 01:38
fonte

1 risposta

2

La tua domanda è abbastanza ampia e non molto specifica. È difficile dare consigli per tali generalità, in quanto le raccomandazioni sarebbero diverse per persone diverse.

Come per la maggior parte delle domande di sicurezza, inizia con " Che cosa proteggi? Chi ? Quali sono le conseguenze della perdita di questo?".

Ecco alcuni punti di partenza:

  • Hai più personaggi che vuoi tenere separati? per esempio. Mr Anderson Vs Neo . Se questo è il caso, avrai bisogno di diverse coppie di chiavi per ciascuna di queste persone.
  • Hai bisogno di chiavi per il lavoro e personali? In tal caso, queste dovrebbero essere coppie di chiavi diverse, poiché la tua azienda potrebbe considerare la tua chiave come proprietà e potrebbe revocarla una volta che lasci la società.
  • Ti dispiace che le tue attività siano correlate tra i server? Per me personalmente la croce persona è più importante del servizio incrociato. Non mi interessa che le mie identità di GitHub / Souceforge / Stackexchange siano correlate, ma sarebbe un peccato se fosse provato che ero The Dread Pirate Roberts . Se è così, hai bisogno di diverse coppie di chiavi per ciascuno di questi servizi.

Come dici tu, ogni tasto che mantieni aumenta la quantità di sforzi necessari per mantenerli. Ciò solleva anche la possibilità di utilizzare la chiave sbagliata nel posto sbagliato e di connettere accidentalmente le diverse chiavi.

Lo scenario più probabile che posso vedere sarebbe qualcuno con 3 personas, [professionale, pubblico personale, privato personale]. Sarei propenso a utilizzare macchine separate per il personale e il professionista, in modo che le mie chiavi private personali non tocchino mai i miei computer di lavoro e le mie chiavi private di lavoro non tocchino mai i miei personal computer. Quindi, a seconda delle conseguenze del collegamento tra pubblico personale e privato, vorrei:

  • Conserva le chiavi su account separati della stessa macchina (basse conseguenze)
  • Tieni la chiave privata "pubblica personale" sulla macchina e la chiave privata "privata privata" su un dispositivo USB crittografato, collegala solo quando fai cose private (conseguenze medie).
  • Avere un sistema operativo Tails o simile per il tuo lavoro privato. Di nuovo "privato personale" su una chiavetta USB criptata. (conseguenze medio-alte)
  • Macchina air-gapped dedicata, fisicamente sicura e un po 'di fortuna (alte conseguenze)
risposta data 19.01.2015 - 02:48
fonte

Leggi altre domande sui tag

Caricamento file con VPN ... possono vedere il mio vero IP? Come posso difendermi dal furto di identità di Heroku (o di qualsiasi PAAS)?