Devo eseguire il backup delle chiavi dell'host SSH?

8

Nei miei backup automatici, non sono sicuro che dovrei farlo. Se il disco rigido si guasta o se pulisco il disco rigido e ricomincio, quale sarà l'effetto di iniziare con una nuova chiave host SSH per i miei clienti? Dovrò fare qualcosa di speciale oltre a rimuovere il nome dell'host dal known_hostsfile di ciascun client ? Qual è la cosa migliore da fare in questo caso? Sto programmando di cancellare il mio computer e ricominciare da zero nei prossimi giorni.

ssh  security  backup  openssh 
Naftuli Kay
fonte

Risposte:

10

Se stai reinstallando il sistema operativo sul tuo computer, ma ritieni che sia ancora lo "stesso" computer, devi eseguire il backup della chiave privata SSH e ripristinarla dopo l'installazione. Se stai riutilizzando lo stesso hardware per creare un sistema diverso, devi generare una nuova chiave per il nuovo sistema. Decidere se è sempre lo stesso computer è una decisione semantica, quindi dipende da te; ripristinare o rigenerare la chiave SSH è l'implementazione di questa decisione.

Se sei l'unica persona che accede a quel computer, non importa molto. Se hai altri utenti, la modifica della chiave SSH causerà problemi:

  • I pochi utenti che sono entrambi attenti alla sicurezza e ben informati si preoccuperanno che stia accadendo qualcosa di brutto e proveranno a contattarti fuori banda per avvertirti che potrebbero essere sotto attacco.
  • I pochi utenti che sono ben informati ma non così paranoici rimuoveranno la vecchia chiave SSH per sbarazzarsi del messaggio di errore e si lamenteranno del fatto che l'amministratore di sistema cambi la chiave.
  • La maggior parte degli utenti che ignorano i messaggi vedranno che non riescono a connettersi e potrebbero contattarti per chiedere aiuto.
Gilles 'SO- smetti di essere malvagio'
fonte
Come posso eseguire il backup della chiave privata ssh? Sto programmando di eseguire una nuova installazione del sistema
operativo
@Lykos È solo un file (un file per algoritmo, in realtà, ed esegue il backup del file della chiave pubblica per comodità anche se potrebbe essere ricostruito dal file della chiave privata). Di solito si trova a /etc/ssh_host_*_key*o/etc/ssh/ssh_host_*_key*
Gilles 'SO- smetti di essere malvagio'
Non sono sicuro se ho capito correttamente, ma che posso fare cat ~/.ssh/id_rsa.pube cat ~/.ssh/id_rsa.pube copiare il contenuto di un file txt come back up?
ltd
@Lykos Queste sono le chiavi pubbliche dell'utente, che non hanno nulla a che fare con questa domanda particolare. Non so che cosa vuoi fare, ma di solito la cosa più importante è il backup delle chiavi private. Non confondere le chiavi host e le chiavi utente (sono sicuro che abbiamo una domanda o tre sull'argomento).
Gilles 'SO- smetti di essere malvagio'
2

A meno che un mondo di persone si colleghi al tuo sistema oltre a te e desideri che il cambiamento nel loro servizio sia il più ininterrotto possibile, probabilmente è altrettanto bene creare nuove chiavi host. Se cancelli un sistema e inizi da zero, in realtà non è lo stesso sistema di prima e i tuoi clienti ssh avranno ragione nel voler avvisarti che il sistema è cambiato. Se non hai alcun blocco folle in atto se non riesci a connetterti a nuovi host, questa dovrebbe essere una semplice questione di aggiornamento del file hosts noto.

Caleb
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.