kvaps 15 мая 2019 в 06:05

Храним SSH-ключи безопасно

2 мин

37K

Настройка Linux * Софт

Перевод

+18

Комментарии 29

Ryav 15 мая 2019 в 08:09

Отлично, как это провернуть на системе без иксов?

kvaps 15 мая 2019 в 10:42

Хороший вопрос.
Если вы про удаленный сервер, то думаю можно попробовать пробросить сокет ssh-агента для добавления ssh-ключа.

sim3x 15 мая 2019 в 18:58

Есть keepassxc-cli

Возможно софт можно собрать без Qt или статично, так чтоб Х не тянулся в зависимостях

Но имо проще создать ссш ключ с запросом пароля

mosidze 15 мая 2019 в 08:46

круто. не проще использовать связку (ключ с паролем) + TOTP? Может не удобно, но зато надежно

kvaps 15 мая 2019 в 10:48

Конечно можно, но тут скорее решается вопрос хранения персональных ssh-ключей.
Большинство людей и так используют KeePass для хранения паролей, но не знают что в нем есть такая замечательная возможность как взаимодействие с ssh-агентом.

mosidze 15 мая 2019 в 11:14

Никогда не доверял пароли, особенно критичные стороннему софту. И keepass никогда не использовал. Так что, в данном случае, соглашусь с Вашим мнением

polearnik 15 мая 2019 в 13:57

а как вы храните многочисленные и разнообразные пароли?

prudnitskiy 15 мая 2019 в 11:39

А еще проще использовать аппаратные хранилища ключей, типа GPG Card. Но его купить надо (и желательно не потерять случайно)

kvaps 15 мая 2019 в 11:40

не проще, т.к. не везде есть возможность его использовать, а еще бэкапить нельзя

НЛО прилетело и опубликовало эту надпись здесь

prudnitskiy 15 мая 2019 в 12:56

Вот только бэкап — это небезопасно само по себе, вот в чем проблема. Это конфликт надежности и безопасности, ибо бэкап могут украсть и незащищенный ключ попадет в руки злоумышленника.

AlexTroshkin 23 дек 2024 в 20:36

Еще хуже если украдут оригинал, а у вас даже бэкапа нет :D

BuccapuoH 15 мая 2019 в 10:45

Сам использую Yubikey с forcesig. Довольно удобно (кроме необходимости вводить пин для каждой операции) и надёжно. Но для более быстрого сетапа можно попробовать Krypton.

worldmind 15 мая 2019 в 12:07

А как быть если ключей несколько для разных хостов?

kvaps 15 мая 2019 в 12:30

Таким образом можно добавить сколько хочешь ключей

Belya-Dj 15 мая 2019 в 14:09

Но при этом, к сожалению, если серверов больше 5-10, то данный способ хранения не очень будет удобным — потому как все ключи по списку будут отправляться на сервер, и после N-ного ключа (если нужный не был отправлен) сервер отключит клиента с ошибкой авторизации.

kvaps 15 мая 2019 в 15:00

SSH умеет использовать public keys в качестве IdentityFile.
То есть ничто вам не мешает хранить id_rsa.pub в ~/.ssh и ссылаться на него в качестве IdentityFile для конкретных хостов, при этом сам private key будет надежно сохранен в кипасе.

Belya-Dj 16 мая 2019 в 09:53

Не совсем вас понял — как можно логинится с помочью паблик ключа? Как такое возможно? Буду благодарен за ссыль где почитать об этом.

kvaps 16 мая 2019 в 16:27

Паблик ключ преданный как IdentityFile будет использоваться не для идентификации, а только в качестве указателя на какой именно приватный ключ следует использовать. Сам приватный ключ должен быть заранее добавлен в ssh-agent. Посмотреть список загруженных в агента ключей можно выполнив:

ssh-add -l

https://superuser.com/questions/357602/use-a-specified-key-from-ssh-agent

MMik 15 мая 2019 в 15:19

del

nad_oby 16 мая 2019 в 12:16

https://github.com/ccontavalli/ssh-ident
Не подойдёт?

Belya-Dj 16 мая 2019 в 12:31

Спасибо, посмотрю-почитаю :)

pal666 15 мая 2019 в 23:00

ключи по умолчанию хранятся безопасно — они зашифрованы пассфразой, причем каждый своей, а тут один пароль на все. не делайте пустую пассфразу и все.

felix0id 17 мая 2019 в 09:52

Тут ещё и решается вопрос менеджмента ключей весьма удобной гуйкой. При этом я храню свою БД в облаке и синхронизирую между хостами. Таким образом, мои ключи ещё и удобно забекаплены :-j