it-swarm-korea.com

여러 컴퓨터에서 동일한 개인 ssh 키를 사용하는 것이 좋지 않습니까?

최근에 데스크톱에서 수행하는 것과 동일한 원격 호스트에 액세스해야하는 랩톱을 구입했습니다. 내 데스크톱에서 내 노트북으로 개인 키 파일을 간단히 복사하고 액세스하려는 모든 호스트의 ~/.ssh/authorized_keys 파일에 새 키를 추가하지 않아도 될 수 있다는 생각이 들었습니다. 그래서 내 질문은 다음과 같습니다.

  1. 이것이 가능할까요?
  2. 분명하지 않은 보안 관련 사항이 있습니까?
  3. 때때로 내 노트북에서 내 데스크톱에 로그인합니다. 같은 키를 사용한다면 문제가 발생합니까?
37
Jason Creighton

네, 가능합니다. 개인 키는 단일 시스템에 연결되어 있지 않습니다.

명확하지 않은 것이 무엇을 의미하는지 확실하지 않으며 종종 주관적입니다.). 적어도 20 자 이상인 매우 강력한 암호를 설정했는지 확인하는 것은 전혀 나쁜 생각이 아닙니다.

데스크톱과 동일한 키로 연결하는 데 문제가 없습니다. 랩톱에서 키에 대한 ssh 에이전트를 설정하고 에이전트를 데스크톱으로 전달하여 거기에서 액세스하는 다른 시스템에서 해당 키를 사용하게됩니다.

Linux 시스템의 ssh-agent man 페이지에서 :

ssh-agent는 공개 키 인증 (RSA, DSA)에 사용되는 개인 키를 보관하는 프로그램입니다. 아이디어는 ssh-agent가 X- 세션 또는 로그인 세션의 시작 부분에 시작되고 다른 모든 창 또는 프로그램이 ssh-agent 프로그램의 클라이언트로 시작된다는 것입니다. 환경 변수를 사용하여 에이전트를 찾고 ssh (1)를 사용하여 다른 컴퓨터에 로그인 할 때 인증에 자동으로 사용할 수 있습니다.

Linux/Unix (OpenSSH와 함께 제공됨)의 ssh-agent 프로그램 또는 Windows를 사용하는 경우 PuTTY 에이전트를 사용하여 랩톱에서 실행합니다. 원격 시스템에서 실행중인 에이전트가 필요하지 않습니다. 로컬 시스템의 메모리에 개인 키만 보관하므로 암호를 한 번만 입력하면 에이전트에서 키를로드 할 수 있습니다.

에이전트 전달은 ssh 연결을 통해 다른 시스템으로 에이전트를 유지하는 ssh 클라이언트 (ssh 또는 PuTTY)의 기능입니다.

31
jtimberman

모든 컴퓨터에서 단일 개인 키를 사용했지만 일부는 관리자가 아닌 사용자로만 사용되었지만 최근에는이를 변경했습니다. 하나의 키로 작동하지만 키를 취소해야하는 경우 (손상된 경우) 모든 컴퓨터에서 키를 변경해야합니다.

물론 공격자가 액세스 권한을 얻고 다른 시스템으로 ssh 할 수있는 경우 해당 시스템에서 키를 얻을 수 있습니다. 그러나 하나의 키만 취소하고 해당 컴퓨터를 잠글 수 있다는 것을 알면 좀 더 안전하다고 느낍니다. 그래도 authorized_keys 파일에서 키를 제거해야 함을 의미합니다.

10