LINUX.ORG.RU

Храню в ~/.ssh/.

Стараюсь иметь по одному ключу на каждую машину (единственное исключение — виртуальные машины, но при этом «наружу» VHD/VMDK уже отдавать нельзя). Ибо проще перестать пользоваться одним ключом, чем перезаливать разделяемый ключ на все используемые машины.

На машинах, которыми владею не я — однозначно отдельный ключ, и с этим ключом на «свои» машины не хожу.

Если какой-нибудь GitHub компрометирует ключ(и) — немедленная перегенерация.

К сервисам типа DropBox/SpiderOak отношусь, как к чуме. Для публичных файлов всегда есть dotfiles на GitHub. Для всего остального — портативный терабайтный винт.

Bass ★★★★★ ()

не использую ключи.
слишком геморно и не безопасно, а единственное хранилище что нагугливал стоило денег.

system-root ★★★★★ ()

Храню в ~/.ssh/. Никуда не загружаю, на каждом устройстве - свой ключ (у каждого пользователя). Парольной фразы нет, т.к. это дико неудобно. Все накопители на устройствах зашифрованы.

aquadon ★★★★★ ()
Ответ на: комментарий от Bass

На машинах, которыми владею не я — однозначно отдельный ключ, и с этим ключом на «свои» машины не хожу.

О, госпади. И зачем вы там храните «отдельные ключи»? Приватные ключи нужны, чтобы заходить на другие машины. А на те, где кто-то вам дал доступ или на те, где надо зайти и что-то сделать, а не создавать новые сессии оттуда куда-либо — достаточно положить свой открытый ключ, который можете поместить куда угодно и раздавать кому угодно.

vodz ★★★★★ ()

Каждая машина/пользователь свой ключ. Все с пассфразами. Пассфразами заправляет ssh-agent.

beastie ★★★★★ ()
Ответ на: комментарий от beastie

Не возникает такой необходимости. Все накопители зашифрованы, так что ключи лежат без парольной фразы. Для переброса могу зашифровать разово, но считаю, что правильнее будет создать новый ключ на новой машине.

aquadon ★★★★★ ()
Ответ на: комментарий от Bass

Если какой-нибудь GitHub компрометирует ключ(и) — немедленная перегенерация.

Как он может? У него же только публичный, нет?

urxvt ★★★★★ ()
Ответ на: комментарий от aquadon

Все накопители зашифрованы

Это ничего не даёт, в том плане, что спасает только от «холодного» взлома. По «горячему» твои ключи относительно лёгкая добыча.

Для переброса могу зашифровать разово

Ты не понял для чего этого. Имея доступ с машины А на машину Б, я мого зайти на машину В и залогиниться ключём от А на Б, не имея при этом ключа А на В. Не перемещая никуда никаких ключей. Очень удобно.

Пример использования: на github прописан например только ключь от моего лептопа. Залогинившись на какой-либо сервер, где у меня есть доступ я так же могу пользоваться github не компроментируя свой ключь и без мороки прописи везде новых ключей.

beastie ★★★★★ ()
Последнее исправление: beastie (всего исправлений: 1)
Ответ на: комментарий от beastie

+ agent_forwarding и никакого геморроя.

Особенно удобно, если вся подсеть доступна через один хоп (Например, bastion host)

PunkoIvan ★★★★ ()
Ответ на: комментарий от urxvt

Как он может? У него же только публичный, нет?

Например, вот поэтому: https://www.opennet.ru/opennews/art.shtml?num=42357

И я пока не знаю, какие уязвимости существуют в тех версиях OpenSSH/OpenSSL, которыми я пользуюсь сейчас.

Т. е. асимметричная криптуха, пока, конечно, работает. Но неизвестно, что будет лет через 20.

Bass ★★★★★ ()
Ответ на: комментарий от vodz

О, госпади. И зачем вы там храните «отдельные ключи»?

Внезапно, с «чужих машин» я тоже куда-то хожу по SSH. Например, на тот же GitHub.

Bass ★★★★★ ()
Ответ на: комментарий от hasan

Копии ключей двумя способами: во-первых, программный RAID1 (программный, потому что при обновлении железа RAID-контроллер, как правило, тоже заменяется), а во-вторых, регулярный бэкап.

Bass ★★★★★ ()
Ответ на: комментарий от beastie

Нет и не нужно. Старый инвалидируется. Новый генерируется.

как это поможет?

допустим, есть у тебя vps серверы с сайтами и базами. и ты к ним ходишь по ssh.

и тут у тебя полетел винт. ssh ключ пропал. что будешь делать, как будешь на сервера логиниться? сносить все ОС через хостинг панель и по-новой устанавливать?

или скажешь серверам «эй, у меня винт полетел, тот ssh ключ больше недействительный. вот вам новый....»

hasan ()
Ответ на: комментарий от Bass

а во-вторых, регулярный бэкап.

вот про это у меня и вопрос. что за бэкап, куда? у тебя ключи с парольной фразой? если да, то тогда ты просто заливаешь бэкап на дропбоксы и на флэшки?

hasan ()
Ответ на: комментарий от Bass

Забавная новость на Opennet. :)
Да, что-то я о таком варианте не подумал.

urxvt ★★★★★ ()

Как хранить приватный ssh ключи? Как вы храните?

Может еще сказать где ключ от квартиры и деньги лежат?

anonymous_sama ★★★★★ ()
Ответ на: комментарий от hasan

и тут у тебя полетел винт. ssh ключ пропал. что будешь делать, как будешь на сервера логиниться? сносить все ОС через хостинг панель и по-новой устанавливать?

У нормальных хостеров обычно есть ip-kvm, к которому у тебя есть пароль. Не ssh-ем единым. Перезальёшь через него новый ключ, дел то.

или скажешь серверам «эй, у меня винт полетел, тот ssh ключ больше недействительный. вот вам новый....»

А у нормальных админов всегда есть backup-ы.

anonymous ()

Печатаю на бумаге

anonymous ()
Ответ на: комментарий от hasan

Элементарно, Ватсон. Обычно у тебя там не один ключ. В случае компании, каждый devops например имеет там свой собственный.

beastie ★★★★★ ()
Ответ на: комментарий от no-such-file

Для этого есть проброс ключа.

В общем, да, но (а) сервер может не разрешать agent forwarding и (б) иногда банально лень.

Bass ★★★★★ ()

А может кто-нибудь объяснить (или дать ссылку на объяснение) того, как соотносятся ssh-agent, gnome-keyring (или его KDE аналог) и всякие KeePass*?

tailgunner ★★★★★ ()
Ответ на: комментарий от vodz

Вот смотри, есть боевой сервер, и есть тестовый. На боевом фильтрация по IP кроме всего прочего. Ключ теста нужен на боевом (чтобы на боевой с теста ходить) потому что:

1 Фильтрация по IP, а это значит если у меня изменится IP по какой-то причине (да, у меня белый, выделенный и еще есть VPN так что ситуация маловероятная, но все же), то я не смогу войти на бой. А вот то что он одновременно у меня сменится и на тесте - это почти невероятно.

2 Да тупо пушить на боевой.

Suntechnic ★★★★★ ()
Ответ на: комментарий от hasan

есть у тебя vps серверы
ключ пропал
что будешь делать,
как будешь на сервера логиниться?
сносить все ОС через хостинг панель и по-новой устанавливать?

че-то ты вообще чушь порешь. на физическую машину можно запросить KVM или попросить послать инженера и сбросить рутовый пароль. про виртуалку уж и говорить нечего, даже просить никого не надо, просто в vnc/web консоли сбрасываешь пароль и всё.

neschastnyjj86 ()
Ответ на: комментарий от Suntechnic

Вот смотри,

Никакого полезного удобства в вашей конфигурации не увидел. У нас так: я, как сотрудник, конекчусь по vpn к своей рабочей машине, а дальше в тест и боевое иду с нее, там закрытый ключ, а на продах - открытый. Аутсорсеры идут через систему записи сессии по сертификату для VPN на ssh по имени-паролю уже без сертификатов в систему записи «мультиков», которая пишет даже эти пароли и должны быть секретны от его коллеги аутсорсера, но не для админов конторы.

vodz ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.