1. дома
  2. Вопрос и ответ
  3. Обмен ключами SSH на нескольких хостах

Обмен ключами SSH на нескольких хостах

2016-02-23 3 views
3

Я создаю службу, которая распределяется между несколькими машинами, которые входят в другие целевые машины и выполняет действие (записывать в файл, запускать сценарий оболочки и т. Д.).Обмен ключами SSH на нескольких хостах

В настоящее время у меня есть эта служба, настроенная на использование имени пользователя и пароля в качестве формы аутентификации для ssh-ing на целевых компьютерах, но для ее работы требуется дополнительная загрузка на целевой машине. Я хочу перейти к модели аутентификации с открытым/закрытым ключом.

Мой вопрос в том, что эта служба распределяется между несколькими узлами, неуместно хранить закрытый ключ в безопасном месте (скажем, с помощью AWS KMS или какой-либо подобной службы), и каждый из моих машин читает это или я должен иметь закрытый ключ для каждой из моих машин?

источник

2016-02-23 Allen Suner

ответ

3

Наличие всех ваших машин для получения ключей ssh ​​из центра не по своей сути хуже, чем их получение их имени пользователя и пароля из центра. Однако соединение, по которому они получают ключи ssh, должно быть безопасным, что может означать, что у вас должен быть хотя бы один ключ - тот, который попадает в ваше центральное место, - локально хранится на каждой машине.

источник

2016-02-23 00:11:38

+0

Я не 100% уверен, что я следовать за тобой. Вы говорите, что каждая машина должна ожидать, что ключ хранится локально, а если нет, он должен извлечь его из централизованного безопасного места? –

+1

Я говорю, что ключи для доступа к тому, что вы называете «целевыми» машинами, будут храниться в центральном месте, но машины все равно должны иметь доступ к центральному местоположению. Таким образом, вам все равно нужно хранить один ключ или пароль какого-либо типа на каждой машине, но вам не нужно хранить целую кучу, даже если вы получаете доступ к целому набору целевых машин. –

2

Я бы ответил, что лучше иметь закрытый ключ для каждой машины.

Этот способ, если закрытый ключ получает кражу, только одна машина скомпрометирована, а не все.

Кроме того, вам необходимо защитить только секретный ключ. Открытые ключи по определению являются общедоступными. Не стесняйтесь публиковать свой открытый ключ в Twitter, если вам это нравится. Он будет иметь нулевой эффект.

источник

2016-02-23 00:19:51

+0

Да, я не думал, что мне придется защищать публичные. Я не знаком с асимметричным шифрованием, можете ли вы иметь разные личные ключи, связанные с одним и тем же открытым ключом? –

+1

Нет. Закрытый ключ всегда связан с одним открытым ключом. И наоборот. –

+0

А-ха. Я не уверен, что это будет тот подход, который я хочу, тогда мне нужен открытый ключ, чтобы его можно было распространять на целевые компьютеры, в которые войдет моя ферма. Это представляет интересный компромисс. –

1

Вы можете использовать blockchain на основе децентрализованной системы PKI EMCSSH: http://emercoin.com/EMCSSH

ОТКАЗ: Я автор этой системы, ответит на любые вопросы

источник

2016-02-23 00:28:17 maxihatop

Смежные вопросы

 Смежные вопросы