Come devo gestire una chiave ssh sicura e personale?

14

Ho bisogno di una chiave ssh personale tale che:

  • Posso eseguire il backup di un singolo file contenente la mia chiave privata e ripristinarlo quando eseguo una nuova installazione.
  • La chiave privata non viene mai archiviata in forma non crittografata da nessuna parte, incluso nel file di cui eseguo il backup e il ripristino, ma con la necessaria eccezione della mia RAM mentre la sto usando.
  • Qualcuno con accesso fisico alla mia macchina non può necessariamente usare la mia chiave privata. Dovrei essere richiesto di inserire una password prima che funzioni, preferibilmente la password per il mio account utente.
  • Non è necessario eseguire il backup della chiave pubblica. Dovrei essere in grado di generarlo dalla chiave privata (ma potrei aver bisogno di informazioni sufficienti per decrittografarlo).

So che ci sono molte risorse che spiegano come usare gli strumenti di gestione delle chiavi ssh. Tuttavia, le trovo piuttosto complesse e in passato non ho potuto salvare la mia chiave privata quando eseguivo nuove installazioni. Quindi preferirei di gran lunga ascoltare alcune buone pratiche da qualcuno con esperienza che fa esattamente quello che voglio fare.

keyrings  ssh 
Vincent Povirk
fonte

Risposte:

9

Passando attraverso i tuoi punti:

  • Quando si genera una chiave SSH, viene archiviata ~/.ssh/come id_rsa(o id_dsa). Puoi spostarlo da una macchina all'altra come desideri.

  • Puoi assicurarne la crittografia crittografando /home/. Esistono diverse serie di istruzioni su come eseguire questa operazione in Internet, ma (non l'ho mai fatto da solo) non posso onestamente suggerire l'uno all'altro. Quello su UbuntuForums sembra buono come un altro. Fare questo su una nuova installazione è più semplice (puoi farlo nel programma di installazione) ma non è necessario.

  • Quando generi la tua coppia di chiavi, assicurati di impostare una passphrase. Ciò significa che anche se qualcuno ottiene la tua chiave privata, ha ancora bisogno di quel token per usarla.

  • ssh-keygen -egenererà l'hash della chiave pubblica dalla chiave privata. Fai sì, non è necessario eseguire il backup (anche se non sarebbe difficile da fare - è memorizzato come ~/.ssh/id_rsa.pub).

Oli
fonte
L'impostazione di una passphrase non viene considerata come crittografia della chiave?
Vincent Povirk,
@Vincent Sort of, certo. Non sono sicuro di quanto paranoico stai cercando di essere qui. Se si desidera ridurre al minimo la possibilità che qualcun altro ottenga la chiave, inserirla in una partizione crittografata. Se sei contento che le persone siano in grado di ottenerlo (se ottengono l'accesso fisico), ma non puoi usarlo senza una passphrase, puoi saltare quel passaggio.
Oli
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.