Должен ли я выполнять резервное копирование ключей хоста SSH?

8

В моих автоматических резервных копиях я не уверен, должен ли я это делать. Если произойдет сбой жесткого диска или если я вытру жесткий диск и начну все сначала, каков будет запуск новых ключей хоста SSH для моих клиентов? Должен ли я сделать что-то особенное, кроме удаления имени хоста из known_hostsфайла каждого клиента ? Что лучше всего делать в этом случае? Я планирую стереть свой компьютер и начать с нуля в ближайшие несколько дней.

ssh  security  backup  openssh 
Нафтули Кей
источник

Ответы:

10

Если вы переустанавливаете ОС на своем компьютере, но считаете, что это все тот же «компьютер», то вы должны создать резервную копию закрытого ключа SSH и восстановить его после установки. Если вы используете одно и то же оборудование для создания другой системы, вы должны сгенерировать новый ключ для новой системы. Решить, будет ли это все тот же компьютер, является семантическим решением, так что решать вам; восстановление или восстановление ключа SSH является реализацией этого решения.

Если вы единственный человек, имеющий доступ к этому компьютеру, это не имеет большого значения. Если у вас есть другие пользователи, изменение ключа SSH вызовет проблемы:

  • Те немногие пользователи, которые заботятся о безопасности и знают, будут беспокоиться о том, что происходит что-то плохое, и попытаются связаться с вами вне группы, чтобы предупредить вас, что они могут быть атакованы.
  • Те немногие пользователи, которые хорошо осведомлены, но не являются параноиками, удалят старый ключ SSH, чтобы избавиться от сообщения об ошибке, и ворчат, что системный администратор меняет ключ.
  • Большинство пользователей, которые игнорируют сообщения, просто увидят, что не могут подключиться, и могут обратиться к вам за помощью.
Жиль "ТАК - перестань быть злым"
источник
Как я могу сделать резервную копию закрытого ключа ssh? Я планирую сделать свежую установку
ОС
@Lykos Это просто файл (на самом деле один файл на алгоритм и резервное копирование файла открытого ключа для удобства, даже если его можно восстановить из файла личного ключа). Обычно находится в /etc/ssh_host_*_key*или/etc/ssh/ssh_host_*_key*
Жиль "ТАК ... перестать быть злым"
Не уверен , если я понимаю правильно, но я могу сделать cat ~/.ssh/id_rsa.pubи cat ~/.ssh/id_rsa.pubи скопировать содержимое в текстовый файл в качестве резервного копирования?
ltdev
@Lykos Это открытые ключи пользователей, которые не имеют ничего общего с этим конкретным вопросом. Я не знаю, что вы хотите сделать, но обычно самое важное - сделать резервную копию закрытых ключей. Не путайте ключи хоста и ключи пользователя (я уверен, у нас есть вопрос или три по теме).
Жиль "ТАК - перестань быть злым"
2

Если мир людей не подключится к вашей системе, кроме вас, и вы не захотите, чтобы изменение их службы было как можно более непрерывным, возможно, вы также создадите новые ключи хоста. Если вы стираете систему и начинаете с нуля, она на самом деле уже не та, что была раньше, и ваши клиенты ssh будут правы, желая уведомить вас об изменении системы. Если у вас нет никаких сумасшедших блокировок в действии, если вы не можете подключиться к новым хостам, это должно быть простым делом для обновления файла известных хостов.

Калеб
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.