Como devo gerenciar uma chave ssh segura e pessoal?

14

Eu preciso ter uma chave ssh pessoal como essa:

  • Eu posso fazer backup de um único arquivo contendo minha chave privada e restaurá-lo quando fizer uma nova instalação.
  • A chave privada nunca é armazenada em formato não criptografado em qualquer lugar, inclusive no arquivo que eu faço backup e restauração, mas com a exceção necessária da minha RAM enquanto a estou usando.
  • Alguém com acesso físico à minha máquina não pode necessariamente usar minha chave privada. Eu deveria ser obrigado a digitar uma senha antes que funcione, de preferência a senha para minha conta de usuário.
  • Não é necessário fazer backup da chave pública. Eu deveria ser capaz de gerar isso a partir da chave privada (mas pode precisar de informações suficientes para descriptografá-lo).

Eu sei que há muitos recursos explicando como usar as ferramentas de gerenciamento de chaves ssh. No entanto, eu os considero bastante complexos, e me provei incapaz de salvar minha chave privada ao fazer novas instalações no passado. Então eu prefiro ouvir algumas das melhores práticas de alguém com experiência fazendo exatamente o que eu quero fazer.

    
por Vincent Povirk 27.11.2010 / 15:24

1 resposta

9

Analisando seus pontos:

  • Quando você gera uma chave SSH, ela é armazenada em ~/.ssh/ as id_rsa (ou id_dsa ). Você pode mover isso de máquina para máquina como desejar.

  • Você pode garantir sua criptografia criptografando /home/ . Existem vários conjuntos de instruções sobre como fazer isso em torno da internet, mas (nunca tendo feito isso sozinho) eu não posso honestamente sugerir um sobre o outro. O do UbuntuForums parece tão bom quanto qualquer outro. Fazer isso em uma nova instalação é mais fácil (você pode fazer isso no instalador), mas não é necessário.

  • Quando você gerar seu par de chaves, certifique-se de definir uma frase secreta. Isso significa que, mesmo que alguém receba sua chave privada, ela ainda precisará desse símbolo para usá-la.

  • ssh-keygen -e gerará seu hash de chave pública da sua chave privada. Sim, você não precisa fazer o backup (embora não seja difícil fazer isso - é armazenado como ~/.ssh/id_rsa.pub ).

por Oli 27.11.2010 / 15:59

Tags