it-swarm-tr.com

Bir SSH anahtar çifti ne sıklıkta değiştirilmelidir?

Yıllardır kendi sistemlerim arasında şifresiz SSH için 1024 bit RSA anahtarı kullanıyorum. Daha yakın zamanda barındırma sağlayıcılarıma ve kaynak kodu depolarına şifresiz erişim için kullanmaya başladım.

Aynı anahtar çiftini uzun süre kullanmak ve birden fazla kaynağa erişmek için bir sorun mu var?

40
Tim Lesher

Evet, kesinlikle bir süre sonra SSH anahtarlarının süresinin dolması önerilir (bu anahtar uzunluğuna, anahtar üreticisinde bulunan güvenlik açıklarına vb. Bağlı olabilir). Ancak bu tür bir mekanizma SSH tarafından öngörülmemiştir. Ve mümkün olan tüm uzak ana bilgisayarlara gitmek ve ortak anahtarı silmek zahmetlidir.

Bir çözüm var - henüz denemedim, ama boş zamanım olduğunda bunu saklayın - MonkeySphere for OpenSSH projesi . Anladığım kadarıyla anahtarlarınızın sona ermesini yönetmenizi sağlayacaktır!

10
Huygens

Burada diğerlerinden farklı bir pozisyon alacağım. Tavsiyem: Değiştirmek için iyi bir nedeniniz yoksa SSH özel anahtarınızı değiştirmenize gerek yoktur.

Gerekçe: Kripto yıpranmaz. Tekrarlanan kullanımla zayıflamaz.

Özel anahtarınızı değiştirmenin en büyük nedeni, ele geçirildiğinden veya artık güvenli olmadığından şüphelenmeniz için bir nedeniniz olmasıdır. Örneğin, makinelerinizden biri saldırıya uğradıysa ve o makinede özel anahtarınızın bir kopyası varsa, SSH anahtarınızı değiştirmenizi öneririm. Benzer şekilde, yedeklerinizden biri yürüdüğünde ve üzerinde SSH özel anahtarınızın bir kopyası varsa, SSH anahtarınızı değiştirmenizi öneririm. Veya, özel anahtarınızı eski bir Debian sisteminde oluşturduysanız, güvenli olmayabilir ve değiştirmenizi tavsiye ederim. Ancak, özel anahtarınızın güvenliğinin ihlal edildiğinden şüphelenmek için böyle bir nedeniniz yoksa, değiştirmeye gerek olmadığını görüyorum.

Anahtarınızı gereksiz yere değiştirmenin dezavantajı artık authorized_keys giriş yapabileceğiniz her makinede dosya. Bu biraz sıkıcı.

Bazı kişilerin özel anahtarınızı değiştirmenizi önermesinin nedeninin profilaktik nedenlerden kaynaklandığından şüpheleniyorum: özel anahtarınızı saklayan makinelerden biri saldırıya uğradıysa ve farkında değilseniz ve şimdi bilgisayar korsanı artık erişemiyorsa? Bilgisayar korsanı hala özel anahtarınıza sahip olabilir. Bu nedenle, bu tür senaryodaki pozlamayı sınırlamak için SSH özel anahtarınızı zaman zaman değiştirmenin bir değeri olabilir. Ancak şahsen, bu tür bir senaryonun çok nadir olduğunu ve muhtemelen SSH anahtarınızı değiştirme zahmetine değmeyeceğinden şüpheleniyorum. Yani, eğer diğerleri SSH anahtarlarını periyodik olarak değiştirmeyi tercih ederse, nedenlerini anlayabilirim - ama kişisel olarak rahatsız etmem.

Not; Bir Host anahtarından (kişisel anahtarınızdan ziyade) bahsediyorsak, Host anahtarını gereksiz yere değiştirmemek için daha da güçlü bir neden vardır: Host anahtarını değiştirirseniz, bu makinede oturum açmaya çalışan herkes uyarı almaya başlar saldırı altında olabileceklerini İnsanlar bu uyarıları rutin olarak görürlerse, onlara anlamsız gürültü (çocuk ağlayan kurt durumu olacak) gibi davranmaya başlayacaklar ve değerlerini zayıflatacaklardır. Bu nedenle, Ana bilgisayar anahtarlarını rutin olarak iyi bir neden olmadan değiştirmeyin.

34
D.W.

Elbette verilerinizin hassasiyetine bağlıdır: verilerinizi mahallenizden, iş saldırılarından, hükümetten mi koruyorsunuz?

Bu makale yılda milyonlarca harcayarak 1024 bitlik RSA anahtarlarını kırabilecek bir bilgisayar inşa etmenin mümkün olduğunu tahmin ediyor. Hepsi en az 2048 bit önerilen birçok çalışmadan bahsediyorlar.

Bu site anahtarınızın saldırılara ne kadar dayanacağını tahmin etmenize yardımcı olabilir.

Ve bu sor anahtar boyutu hakkında birçok cevap veriyor.

Ayrıca, özel anahtarınızı doğru kullanmanın, ortak anahtarınızı tutan birden fazla Ana Bilgisayarınız varsa veya onu kullandığınız zamanların daha zayıf hale getireceği konusunda sorun yaşayacağınız anlamına gelmediğini unutmayın. Bu yüzden özel-ortak anahtarlar yaratıldı: daha fazla kullanıldıkça riskleri artırmadan kullanılmak.

4
woliveirajr

Bildiğim kadarıyla, RSA anahtarları ile "anahtar aşınma" yoktur, bu nedenle aynı anahtar kümesini tutmakta sorun yoktur. Anahtarlarınızın güvenliğinin ihlal edildiğinden şüpheleniyorsanız yeni anahtarlar oluşturabilirsiniz, ancak aksi halde gerçekten gerekli değildir.

2
Oleksi

Uzak sunucuya güveniyorsanız, uzak sunucuya güvenmiyorsanız, ssh anahtarınızı (yeni özel anahtar) değiştirmenin ve uzak bir sunucuya yeni ortak bölüm yüklemenin faydası yoktur.

Özel ssh anahtarınız ağ üzerinden seyahat etmez ... Özel ssh anahtarlarınızın güvenliği sizin sorumluluğunuzdadır.

Sorunuz daha genelse, kullanıcıların anahtarlarını nasıl yeniden doğrulayacağınız anlamına gelir, o zaman duruma göre değişir. Kullanıcıların genel ssh anahtarlarını zaman damgasını tutacak bir depodan/DB'den düzenli olarak ev sahiplerine yüklemek için cfengine, kukla gibi bazı araçları kullanabilirsiniz. Ardından, anahtarın kullanımını doğrulamak için kullanıcıya veya yöneticisine posta gönderebilirsiniz. Veya ssh ile sertifika kullanabilirsiniz. OpenSSH ekibi süresi dolmuş sertifikalar hakkında herhangi bir bilgi geliştirmemesine rağmen ...

Çeşitli saldırıya uğramış opensh çözümlerinden ve yamalarından uzak durun. Gelecekte destekleyecekler miydi?

1
jirib