Usando autenticação de par de chaves ssh e desativando a autenticação de senha ssh - o que acontece se a chave privada for perdida?

7

Estou configurando meu primeiro servidor no Linode e passando por seus tutoriais de configuração.

Em seu tutorial Como proteger seu servidor , recomenda-se usar a autenticação e desabilitação de pares de chaves ssh autenticação de senha.

Minha pergunta é se eu desabilitar a autenticação por senha - e se eu perder minha chave privada? Como poderei voltar a entrar no meu servidor?

    
por Adam Johns 11.05.2015 / 01:53

2 respostas

16

My question is if I disable password authentication - what if I lose my private key? How will I ever be able to log back into my server again?

É por isso que você deve sempre ter alguma forma de gerenciamento Out-of-Band para o seu servidor. Para um servidor físico, seria algo como o cartão DRAC da Dell ou o cartão iLO da HP. Para o seu Linode, é para isso que LISH serve. Usando essas soluções OOB, você pode entrar no console real do seu servidor usando seu nome de usuário e senha. Estes também são úteis quando a rede falha no seu servidor e você não consegue acessá-lo.

Mas honestamente, apenas não perca sua chave. Proteja-o com uma senha e faça backup em algum lugar seguro. Heck, imprimir e guardá-lo em seu cofre. Eles são arquivos relativamente pequenos, e não há desculpa para não cuidar bem disso.

Atualização: Em relação à segurança LISH: use credenciais / chaves diferentes para LISH. Isso é tudo o que existe - credenciais que, se comprometidas, não concederiam acesso ao seu servidor.

No que diz respeito a alguém descobrir que o Linode é o seu provedor, bem que a informação está disponível para qualquer pessoa , e é apenas um simples comando whois ausente.

    
por 11.05.2015 / 03:06
2

Você ficaria bloqueado, como se tivesse esquecido a senha do root.

O que você deve fazer é fazer o backup de sua chave em mídia externa e colocá-la em algum lugar seguro. Com uma frase secreta dentro de uma caixa no banco, se você é do tipo paranoico.

Existem vários backdoors intencionais, como o VNC da Digitalocean. E / ou qualquer serviço de backup gerenciado no qual você possa enviar arquivos para a máquina (basta enviar uma configuração sshd onde os logins de senha são permitidos), como o Idera.

    
por 11.05.2015 / 05:12