Perché Google consiglia di rimuovere le chiavi SSH da GCE per motivi di sicurezza?

15

Il riferimento seguente alla documentazione di Google non è più vero.

Google consiglia di rimuovere le chiavi SSH dall'istanza GCE per proteggere SSH. Questo non ha alcun senso per me. Le chiavi sono lì per sicurezza, giusto? Quando rimuovo le chiavi, SSHD smette di funzionare. Probabilmente mi manca il loro punto. Qualcuno può spiegare cosa significa questo:

Rimuovere le chiavi host ssh

Non usare le chiavi host ssh con la tua istanza. Rimuoverli come segue:

rm /etc/ssh/ssh_host_key
rm /etc/ssh/ssh_host_rsa_key*
rm /etc/ssh/ssh_host_dsa_key*
rm /etc/ssh/ssh_host_ecdsa_key*
ssh  cloud  cloud-computing  google-compute-engine  hostkey 
Martin Prikryl
fonte
2
Il documento consiglia di abilitare StrictHostKeyCheckinge successivamente consiglia di disabilitarlo. Sospetto che non sia un documento modificato con molta cura. Il mio consiglio è di fidarmi del proprio giudizio e usare le chiavi dell'host a meno che non ci sia una buona ragione per non farlo.
carrello
@aecolley L'ho notato anch'io. Ho inviato un feedback a loro. Vedrà se torneranno da me.
Martin Prikryl,
1
Ho elaborato di seguito, ma si riduce al contesto: la pagina che stai guardando sta dando consigli per la creazione di nuove immagini, non per la protezione generale di una macchina. Riceverò i documenti aggiornati per includere ulteriori dettagli su quando e perché vorresti eliminare le chiavi dell'host, poiché i motivi non sono chiari.
Benson,

Risposte:

12

Il dettaglio critico è che la pagina a cui hai fatto riferimento riguarda la creazione di una nuova immagine della macchina del motore di calcolo. In particolare, quando si crea una nuova immagine di macchina virtuale, si desidera assicurarsi che NON includa alcuna chiave host. In questo modo, quando l'immagine viene clonata e ricostituita in una VM reale, lo script di avvio sshd riconoscerà che non ci sono chiavi host e ne genererà automaticamente di nuove. Questo è desiderabile perché avere più macchine che usano la stessa chiave host è una pessima idea.

Quindi, nel caso generale, non eliminare le chiavi dell'host, ma se si sta creando una nuova immagine, è un passaggio importante per garantire che vi sia una relazione uno a uno tra le chiavi e le macchine dell'host.

Benson
fonte
1
Grazie. Questo ha senso. Anche se alcune spiegazioni potrebbero aiutare. "Non usare le chiavi host ssh con la tua istanza." è davvero un fraseggio confuso.
Martin Prikryl,
Sono completamente d'accordo - grazie mille per averlo sottolineato. In realtà ho inviato un aggiornamento ai documenti per chiarire la formulazione che sospetto che verrà presto pubblicata.
Benson,
1
I documenti aggiornati sono ora disponibili: developers.google.com/compute/docs/images#removesshkeys
Benson,
13

L'unica possibile ragione a cui riesco a pensare è che vogliono costringerti a rigenerare nuove chiavi.
Poiché queste chiavi sono state generate prima che tu potessi accedere, potrebbero non essere affidabili.
Rimuoverli e riavviare sshdrigenereranno le chiavi per te.
Tuttavia, il documento non lo chiarisce davvero.

Questa è pura speculazione e sarebbe meglio contattarli e ottenere chiarimenti al riguardo.

impostore
fonte
4
Grazie per la risposta. Ho bisogno di ssh al server per riavviare il sshd. Ma per connettermi devo accettare la chiave host del server "non attendibile". Quindi tutto ciò che faccio durante questa sessione non può essere considerato attendibile. Anche il riavvio di sshd. Giusto?
Martin Prikryl,
1
Immagino che la preoccupazione principale sia che per qualche motivo un altro cliente ottiene le stesse chiavi di te (nota: questo non consente loro di accedere alla tua istanza ma facilita l'attacco man-in-the-middle). Se non ti fidi del fornitore dell'immagine, non dovresti eseguire nulla lì (hanno praticamente accesso fisico).
falso
1
IIRC ha condotto alcune ricerche che dimostrano che la qualità dell'entropia in alcuni sistemi, in particolare incorporati ma che può anche includere alcune categorie di macchine virtuali avviate di recente, non è molto elevata. Quando le chiavi pubbliche vengono generate al primo avvio, come le chiavi delle chiavi host SSH, queste possono essere prevedibili.
HBruijn,
@HBruijn Grazie per il commento. Ma eliminarli e lasciare che sshd li ricrea al riavvio non li rende migliori. Dovresti caricare il tuo. Ma questo non è trattato nel documento.
Martin Prikryl,
1
Ho inviato un feedback a Google. Vedrà se torneranno da me.
Martin Prikryl,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.