这是一个创建于 2966 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近在折腾各种服务器,很喜欢在.ssh/config 里面配置上不同服务器地址,搭配上 Key ,方便以后使用。密码都免了。
其实看到 V2 上很多人也都用这个办法,可是突然想到一个问题:这个怎么能够更安全的做好加密呢??
我说的加密不是链接上的加密,也不是服务器本身的加密,而是对于电脑端的。举例说,你要是有好几十个服务器,有可能用不同的 Key 也有可能用同一个 Key ,所有 Key 都存在你的.ssh 文件夹里。那么!:如果你电脑丢了岂不是 Key 也就丢了?
那么问题来了:
1 , 如何更安全的备份。放在 Dropbox 之类的地方肯定不算最安全的,现在能想到的就是放在 U 盘中,但是 U 盘也是有丢的可能啊。
2 , 如果电脑丢了,那是不是就说明 Key 泄漏了呢?这种问题怎么办?有没有什么可靠的加密办法能够加密.ssh 中的文件的??
3 ,有没有什么办法能够批量在服务器上修改 SSH Key ?(如果丢了之后需要修改)
4 , 如果丢了,也没有备份,那么是不是完全就丢失这个服务器的访问权了?
PS:另外问一下 .ssh/config 中配置Key文件的时候,如果文件PATH中有空格和特殊符号怎么办?
其实看到 V2 上很多人也都用这个办法,可是突然想到一个问题:这个怎么能够更安全的做好加密呢??
我说的加密不是链接上的加密,也不是服务器本身的加密,而是对于电脑端的。举例说,你要是有好几十个服务器,有可能用不同的 Key 也有可能用同一个 Key ,所有 Key 都存在你的.ssh 文件夹里。那么!:如果你电脑丢了岂不是 Key 也就丢了?
那么问题来了:
1 , 如何更安全的备份。放在 Dropbox 之类的地方肯定不算最安全的,现在能想到的就是放在 U 盘中,但是 U 盘也是有丢的可能啊。
2 , 如果电脑丢了,那是不是就说明 Key 泄漏了呢?这种问题怎么办?有没有什么可靠的加密办法能够加密.ssh 中的文件的??
3 ,有没有什么办法能够批量在服务器上修改 SSH Key ?(如果丢了之后需要修改)
4 , 如果丢了,也没有备份,那么是不是完全就丢失这个服务器的访问权了?
PS:另外问一下 .ssh/config 中配置Key文件的时候,如果文件PATH中有空格和特殊符号怎么办?
 |
1
New2016 2016-03-29 01:44:29 +08:00  1
vps 商都有 VNC 控制台 /其他替代的管理方式的
密钥设置密码,密钥丢了就 vnc 上去开启密码登录 |
 |
2
msg7086 2016-03-29 02:26:07 +08:00 1
服务器上同时存公钥和私钥。
泄露了就生成新的密钥然后覆盖到远程目录里就好了。 |
 |
3
LINAICAI 2016-03-29 02:32:32 +08:00 1
@msg7086 他应该已经禁止了 root 远程登录了,又丢了私钥还怎么生成新的秘钥?
服务器存私钥。。。总不太好的感觉 |
|
4
msg7086 2016-03-29 02:41:28 +08:00
@LINAICAI 丢私钥?很难丢的。
服务器存私钥还好吧,反正只有 Root 可见。要能用 Root 登录,那说明私钥已经泄露了。 |
 |
5
SharkIng OP |
 |
9
shiji 2016-03-29 05:58:49 +08:00 2
================
SSH 私钥的基本操作建议: 给最安全的电脑放上云主机(比如 DO )默认的/最基本的那个私钥。 然后用这个最安全的电脑把别的电脑的公钥们分发到各个服务器去。 然后你每个电脑就用属于自己的私钥,丢了/泄露了 就用别的电脑 增加/删除服务器们的 authorized_keys 核心就是,一个本地设备 /严格说是 SSH Client ,一对密钥,不要把你的私钥放在 U 盘里拷来拷去到别的电脑,这样极其不安全。 ================ 1 , 如何更安全的备份。放在 Dropbox 之类的地方肯定不算最安全的,现在能想到的就是放在 U 盘中,但是 U 盘也是有丢的可能啊。 不需要备份,丢了就让它丢了。 2 , 如果电脑丢了,那是不是就说明 Key 泄漏了呢?这种问题怎么办?有没有什么可靠的加密办法能够加密.ssh 中的文件的?? 建议给私钥设置强密码,这样即使泄露了,穷举密码破解也得需要至少几天时间。另外 windows 可以使用系统自带的加密(右键属性里面的,加密之后文件名变绿的那个),这样你即使没有全盘加密,别人拿走你的硬盘也搞不到私钥。 3 ,有没有什么办法能够批量在服务器上修改 SSH Key ?(如果丢了之后需要修改) 上百个服务器你得动手写个小脚本,我就五六台,用 iterm 全部打开,然后有个广播功能,能把输入的指令广播给每一个 ssh 窗口。 添加公钥的方法也有很多, ssh-copy-id 可以,甚至直接 wget 下载你之前上传好到某个 web 服务器的公钥也是可以的。 4 , 如果丢了,也没有备份,那么是不是完全就丢失这个服务器的访问权了? 如果那么不巧,你所有电脑的私钥都同时丢了/泄露了: 大部分云主机都还好可以直接重置,或者支持远程管理模块/远程 KVM 之类的独服也还有救。如果这些都没有,你就得去机房走一趟了。 PS :另外问一下 .ssh/config 中配置 Key 文件的时候,如果文件 PATH 中有空格和特殊符号怎么办? 按照常理来说:套双引号 或者 空格前加 \ 试试。 |
 |
10
DravenJohnson 2016-03-29 06:17:53 +08:00 1
我们公司是用一个自己写的程序保存密钥,会加密上传到公司服务器上,然后本地需要使用的时候会有一个临时文件,当平台关闭临时文件自动删除。解决备份,分享,和个人电脑丢失问题
|
|
11
SharkIng OP |
 |
12
chengn1996342 2016-03-29 06:47:01 +08:00 via iPad 1
用智能卡,类似于 yubikey 这种
|
 |
13
jasontse 2016-03-29 07:28:26 +08:00 via iPad 1
Passphrase
|
 |
14
ryd994 2016-03-29 08:24:56 +08:00 via Android 1
智能卡大法好,输错三次密码锁住,再输错三次管理密码自毁
不怕泄密只要不被社工 备份………你不会在家里藏个 U 盘么?真要丢了再买个 yubikey 就好 |
 |
15
ghostheaven 2016-03-29 08:25:28 +08:00 1
lastpass
|
 |
16
rainysia 2016-03-29 09:38:39 +08:00 1
要安全, 走 kerberos
|
 |
17
lhbc 2016-03-29 09:47:05 +08:00 via Android 1
一机一 key ,本地 BitLocker 加密同步到 Dropbox
|
 |
18
kkxxxxxxx 2016-03-29 09:54:07 +08:00 1
BtSync 一份到手机
|
 |
20
SpicyCat 2016-03-29 12:34:27 +08:00
安全和便利是矛盾的,而且提升安全也意味着提升成本。
|
|
21
SharkIng OP @chengn1996342 我有但是还没研究好怎么用来做 SSH ,而去这东西也容易丢啊
@lhbc 的确希望做到一机一 Key ,但是怕多了之后不好管理也不好保存,而且 Bitlocker 不是 Windows 下的么? @jasontse 这个是什么呢? Google 了下没收到 @ryd994 有教程怎么做么? @SpicyCat 当然安全不可能便利,但是在相对便利的情况下肯定也要考虑安全啊,我不能说这么做绝对安全,但是完全不考虑安全应该不可取。如果安全便利只能选一的话,我宁愿选择安全。所以现在我很多机子没有入 Config ,也是这个原因,但是说实话,真的很不便利 |
|
22
SpicyCat 2016-03-29 14:23:16 +08:00
@SharkIng SSH 安全的关键之一是 key 要安全, config 文件是为了方便,不用 config 文件,效果是你要多敲点字符来登陆服务器,不是就更安全了。而且有 config 文件帮忙,一机一 key 也能方便实现。
如果真要安全,就每个私钥都加 passphrase ,用 ssh-agent 可以实现只输入一次 passphrase 。 同时可以参考下面链接 https://www.zhihu.com/question/31175397 |
 |
23
DesignerSkyline 2016-03-29 15:47:49 +08:00
@SharkIng Yubikey 可以用根线挂钥匙链上
|
 |
24
clino 2016-03-29 15:52:50 +08:00
用 truecrypt 弄一个加密盘,把 .ssh 放里面 这样解密映射完才能用,加密盘文件用 dropbox 之类的同步备份
|
Select Language