Manter o controle das chaves privadas SSH sem comentários

3

As chaves públicas SSH suportam comentários (que consistem simplesmente em texto anexado ao final da chave), o que facilita a identificação de um arquivo id_rsa.pub não identificável. Você pode usar o comentário para armazenar informações como a quem a chave pertence, quando foi criada e para qual máquina é.

As chaves privadas parecem não ter esse recurso. ssh-keygen -C comment gerará um par de chaves com o comentário anexado à chave pública, mas a chave privada permanecerá sem comentários. ssh-keygen tem um argumento -c que "solicita a alteração do comentário nos arquivos de chave privada e pública", mas

root@kitsune:~# ssh-keygen -c -f id_rsa
Comments are only supported for RSA1 keys.

Portanto, parece que o formato de chave privada do SSH2 não possui campo de comentário. Isso é muito bom, contanto que se mantenha o par de chaves juntas e no lugar certo, mas os arquivos podem ser copiados e movidos (o que pode acontecer quando contas / máquinas compartilham uma chave) ou sobrescritos acidentalmente, e todos têm o mesmo nome (id_rsa), portanto, pode-se perder a noção de qual chave é qual. Na ausência de comentários, quais são as melhores práticas para manter as chaves privadas organizadas?

    
por Frogging101 21.02.2016 / 21:10

1 resposta

1

Armazenar a chave privada com pública lhe dá a oportunidade de ver o comentário armazenado na parte pública usando o comando abaixo, mas vejo que não é o que você quer. Não há como armazenar comentários na própria chave (como você já mencionou).

$ ssh-keygen -lf ~/.ssh/id_rsa
2048 SHA256:abcdef[...] [comment] (RSA)

files can get copied and moved around

Isso é realmente uma má ideia. Você não quer que seus dados privados se movam. No caso ideal, você deve ter um par de chaves por dispositivo de onde você está se conectando. Se você precisar de mais chaves no cliente, eu usaria nomes diferentes, como id_rsa-private-github (com nomenclatura apropriada de parte pública). Com a configuração adequada em ~/.ssh/config e / ou ssh-agent , não há falhas nessa configuração.

    
por 21.02.2016 / 22:02