chiavi SSH - criteri per le password - la passphrase può essere uguale alla password?

1

Ho qualche dubbio riguardo i passphrase delle chiavi

  1. Ho molte macchine (circa 5) dove uso ssh da
  2. Ogni macchina ha una password diversa per l'utente
  3. Accedo da ogni macchina a qualsiasi altra macchina

Quindi dà 25 keypair suppongo e il fatto è - cosa dovrebbe essere passphrase per le chiavi? Vedo le seguenti soluzioni:

  • usa la password della macchina locale
  • usa la password della macchina remota
  • usa il pass combinato come "localpassremotepass"
  • usa una passphrase diversa per ogni coppia di chiavi (praticamente inutilizzabile. Il numero di password cresce in modo esponenziale)

Le macchine locali hanno molte più probabilità di essere compromesse rispetto a quelle remote.

Quale di queste strategie è corretta come ampiamente usata e accettata come fine ? Esistono altre soluzioni come alcuni ibridi, ecc.?

    
posta Lapsio 04.02.2017 - 19:09
fonte

3 risposte

1

Per prima cosa, dovresti esaminare ssh-agent e l'opzione ssh -A (ForwardAgent).

Questo potrebbe semplificarti un po 'la vita perché ti consente di sbloccare le chiavi sul terminale in cui lavori, ma di usarle in sedi remote.

In secondo luogo, raccomanderei che la password della chiave non sia la stessa della password di accesso. Avere la password della chiave uguale alla tua password di accesso significa che un utente malintenzionato (o cattivo attore) che ottiene la tua password di accesso ottiene l'accesso a tutte le tue macchine.

Avere diverse password di accesso per ogni macchina è probabilmente una buona idea.

Avere una chiave diversa per ogni macchina probabilmente non è così utile per te. Avere una singola chiave che autorizza tutte le tue macchine è probabilmente la soluzione migliore per una configurazione iniziale.

Open-SSH ora ha i certificati di supporto se vuoi un controllo più preciso, tuttavia, che è più complicato da configurare, quindi ti consiglio di iniziare inizialmente con la semplice configurazione.

    
risposta data 04.02.2017 - 21:18
fonte
0
  • Usa un qualche tipo di gestione delle identità / LDAP se pianifichi di aumentare la quantità di macchine. Memorizzare chiavi private su macchine remote che non hanno accesso fisico non è mai una buona idea.

  • Puoi semplicemente utilizzare una singola coppia di chiavi per ogni macchina dalla quale ti stai connettendo. In questo caso non otterrai la crescita esponenziale. Se una macchina viene compromessa, puoi cancellare la chiave pubblica corrispondente dalle altre macchine per "tagliarla" (IdM può farlo centralmente)

  • L'introduzione di una logica nelle password / passphrase è sempre negativa. Si basa sull'attaccante che non conosce la logica (sicurezza attraverso l'oscurità). Nel tuo caso, se l'utente malintenzionato conoscesse una password per una delle tue macchine, avrebbe la metà delle password per tutti i tuoi sistemi: l'attacco offline è più veloce di quello online.

  • Passphrase non è una password come il nome sta cercando di indicare. Dovrebbe essere molto più lungo della normale password (raddoppiare la dimensione usando due password è piuttosto il limite inferiore della passphrase).

risposta data 04.02.2017 - 21:18
fonte
0

Diverse opzioni:

  1. Se si utilizza una singola workstation per accedere a tutte le macchine, è possibile utilizzare una coppia di chiavi per accedere in modo interattivo da qualsiasi macchina a qualsiasi macchina. È necessario configurare un agente di inoltro ssh, che consente di eseguire l'autenticazione da una macchina senza trasferire la chiave. L'autenticazione e la firma avvengono tutte nella tua stazione di lavoro

  2. Designare una delle macchine come server di salto. Il server di salto è il tuo punto di accesso a tutte le altre macchine e ha la tua chiave crittografata. Per accedere a qualsiasi macchina, per prima cosa accedi al server di salto e utilizzi la chiave che tieni nel server di salto per accedere ad altre macchine. Se si sceglie questa soluzione, è possibile applicare il filtro firewall / IP in modo che sia possibile accedere alle altre macchine solo dal server di salto

  3. Se sei mobile e devi effettuare il login da macchine diverse, vuoi tenere la tua chiave con te. È possibile acquistare una smart card OpenPGP / token USB e configurare SSH per l'autenticazione tramite la smartcard / chiave USB. Ad esempio: link

  4. È possibile impostare i certificati SSH. Installare un certificato di root su ogni macchina e le macchine si fidano di tutte le chiavi firmate dal certificato di origine. Ad esempio: link

risposta data 07.03.2017 - 02:58
fonte

Leggi altre domande sui tag