Рубрики
Uncategorized

SSH Ключ Лучшие практики

Убедитесь, что отделение Убедитесь, что клавиши SSH связаны с одним сервисом SSH … Помечено SSH, DEVOPS, Linux, безопасность.

Обеспечить разделение

Убедитесь, что ключи SSH связаны с одним сервисом

Завяжите SSH-ключи обратно к отдельным услугам, а не просто общий ключ, связанный с несколькими службами GitHub/Acquia/AWS и т. Д. Это обеспечит эффективную пробуждение SSH Audit и более прямое надзору.

Используйте отдельный ключ на клиент, который вы SSH из

Итак, не копируйте закрытый ключ от ноутбука на другой ноутбук для использования параллельно. Каждая клиентская система должна иметь только одну клавишу, поэтому в случае, если клавиши утечки, вы знаете, какая клиентская система была скомпрометирована. Если вы перестанете использовать свой старый ноутбук и начните использовать новый, он, естественно, другой случай, а затем вы можете скопировать ключ.

Комментарии

Добавление комментариев к ключам может позволить вам более легко организовать свои ключи. Комментарии хранятся в конце файла открытого ключа и могут быть просмотрены в чистом тексте. Например:

cat ~/.ssh/{keyservice}_rsa.pub

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQDG..........qiaWxRUdk0UKU0c5ZqQYHRCw== username@hostname

Выберите другой алгоритм SSH

Как только клавиша генерируется, его алгоритм не может быть изменен. Таким образом, вы должны быть осторожны в алгоритме. Некоторые из вариантов являются как показано ниже:

  • RSA — по умолчанию и самый популярный алгоритм. Он основан на сложности факторинга больших чисел. Для RSA рекомендуется ключевой размер не менее 4096 битов. RSA становится старым и значительным достижением в факторинге. Выбор другого алгоритма целесообразно, где это возможно.
  • DSA — старый алгоритм цифрового подписи правительства США. Он основан на сложности вычисления дискретных логарифмов. Ключевым размером 1024 обычно используется с ним. DSA в своей первоначальной форме больше не рекомендуется.
  • ECDSA — новый алгоритм цифровой подписи, стандартизированный правительством США, используя эллиптические кривые. Это рекомендуемый алгоритм для текущих приложений/услуг, если поддерживается. Поддерживаются только три ключевых размера: 256, 384 и 521 (SiC!) биты. Большинство клиентов SSH теперь поддерживают этот алгоритм.
  • ED25519 — это один из новых алгоритмов, добавленных в OpenSSH. Поддержка ее у клиентов еще не универсальна. Вам необходимо проверить документацию клиентов SSH и серверов, если они поддерживают этот алгоритм.

Ключевое поколение

Примечание: Используйте только RSA, если это единственный вариант для предоставления услуг, следуйте «Выберите другой алгоритм SSH»

Алгоритм выбран с использованием опции -T и размером ключа с помощью опции -b.

Если вы не хотите, чтобы SSH-Keygen подскажите вам имя файла, вы можете поставить его с помощью опции -F.

Чтобы добавить комментарий к файлу открытого ключа при генерировании клавиши Добавить в команду генерации ключа -C «Имя пользователя @ hostname». Следующие команды иллюстрируют:

ssh-keygen -t rsa -b 4096 -f ~/.ssh/github_rsa -C "username@hostname"

ssh-keygen -t dsa -f ~/.ssh/github_dsa -C "username@hostname"

ssh-keygen -t ecdsa -b 521 -f ~/.ssh/github_rsa -C "username@hostname"

ssh-keygen -t ed25519 -f ~/.ssh/github_ed -C "username@hostname"

Оставаться бдительным

Если запуск SSH Remote.example.com дает некоторые сообщения об ошибках, не игнорируйте их! SSH имеет оппортунистическую ключевую модель, которая удобна, но это также означает, что если вы столкнулись с предупреждениями, что соединение может служить подслушиванием, вы должны действительно принять к сведению и не действовать.

Оригинал: «https://dev.to/paulmicheli/ssh-key-best-practices-2cb7»