Проблемы безопасности отображения закрытого ключа SSH


14

Я совершил огромную ошибку, или, по крайней мере, мне так кажется: я «поймал» свой личный ключ SSH

cat ~/.ssh/id_rsa

Теперь я боюсь, что создал дыру в безопасности, позволяющую другим пользователям видеть мой закрытый ключ, просматривая историю bash / scrollback или используя другие методы. Итак, мои вопросы:

  1. Действительно ли я поставил под угрозу безопасность моей пары ключей SSH?
  2. Существуют ли «достаточно безопасные» способы его исправления, исключая очевидный (и наиболее безопасный) способ создания новой пары ключей?

(ПРИМЕЧАНИЕ: я единственный пользователь машины, так что я не особо заинтересован в моем конкретном случае, но я подумал, что это будет интересный вопрос.)

Ответы:


20

Если вы сделали это наедине, нет проблем. Подумайте об этом - вы все равно отображаете на экране те же самые данные, которые уже сохранены на вашем жестком диске. И если кто-то сможет получить доступ к вашему прокрутке или вашей истории, он также сможет прочитать id_rsaфайл напрямую.

  • Кроме того, история вашей оболочки - даже если она была доступна для чтения другим пользователям (а это не так) - содержит только команды, а не их вывод. Так что все, что у него будет, это линия с cat ~/.ssh/id_rsaним.

  • История прокрутки для большинства терминалов хранится полностью в памяти. (Терминалы на основе libvte иногда используют файл поддержки в / tmp, но это либо tmpfs, либо он находится на том же диске, что и ваш ~ / .ssh, в любом случае ...) Таким образом, он становится неактуальным, когда вы закрываете терминал. И в любом случае, это доступно только вам, конечно.

  • И очень часто, закрытый ключ зашифровывается парольной фразой и не может использоваться, если вы не расшифруете его при sshзапросе.

Если, конечно, вы не сделали это в присутствии камер безопасности с высоким разрешением или даже прямо не позволили кому-то сделать снимок окна вашего терминала. В этом случае кто-то может перепечатать ключ с фотографий, и единственное, что защитит его, это кодовая фраза шифрования.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.