LINUX.ORG.RU

как безопасно хранить ssh ключи?

 


1

2

Здравствуйте, подскажите пожалуйста, а кто как хранит у себя приватные ssh-ключи и на что обращать внимание с т.з. безопасности? Насколько нормально/плохо хранить по стандартной практике в домашнем каталоге пользователя в каталоге .ssh? На мой взгляд, безопаснее хранить где-нибудь в другом месте, а то этот каталог точно проверят в случае чего. Используете ли для хранения ключей какие-нибудь менеджеры паролей с ssh-агентом? Насколько сильно небезопасно сохранять парольную фразу ключа в каком-нибудь ssh-агенте, где есть такая возможность, чтобы не вводить каждый раз при входе на хост? (Moba Xterm и т.д.)

а то этот каталог точно проверят в случае чего

А, в случае чего и кто проверит?

vvn_black ★★★★★ ()

как безопасно хранить ssh ключи?

Под матрасом

Clockwork ★★★★ ()

Насколько сильно небезопасно сохранять парольную фразу ключа в каком-нибудь ssh-агенте, где есть такая возможность, чтобы не вводить каждый раз при входе на хост?

Если паролить ключ тем же паролем, что и у пользователя то можно застакать pam-модули так, что агент будет разлочивать ключ при входе по паролю.

Pinkbyte ★★★★★ ()

На мой взгляд, безопаснее хранить где-нибудь в другом месте, а то этот каталог точно проверят в случае чего.

Товарищ майор в соседнем кресле щас под стол скатится от смеха.

Clockwork ★★★★ ()

В аппаратном токене вроде Yubikey.

t184256 ★★★★★ ()

Просто используй просто одноразовые ключи.
Как видишь всё просто

zolden ★★★★★ ()

у keepassxc есть интеграция с ssh-agent

MaZy ★★★★★ ()

На съедобной флешке

Jameson ★★★★★ ()

Прямо идентичная тема была же не так давно.
Фантазии не хватает или поиск не работает?

mexx ()

все пароли храню в текстовом файлике на флешке в двух экземплярах.

проблемы безопасно хранить нет, есть проблема потерять.

безопасно хранить ты можешь на устройстве которое не выходит в сеть. никуда твои данные не утекут. это ничем не отличается от хранения на клочке бумаги.

а вот потерять свои данные ты можешь на раз-два, банально забыв, куда сохранял их. просто если ты нормальный человек и живёшь обычной жизнью, где у тебя дом, семья, дети, друзья, работа и всё прочее... вот тебе делать больше нефиг, кроме как пердолить линукс на тему безопасного хранения данных? а? серьёзно? настолько заняться нечем?

вот поэтому берёшь текстовый файлик и записываешь на две-три флешки и читаешь на устройстве без интернета.

nuff said.

Spoofing ★★★★★ ()

ещё для ssh есть опция -J для прыжка через хост, это как раз сделано для того, что ты на одном доверенном хосте можешь хранить все ssh ключи, и через него подключаться к другим хостам.

Spoofing ★★★★★ ()

Если ключ запаролен, то какая разница где?

Не говоря о том, что ещё нужно знать для какого сервера этот ключ.

grem ★★★★★ ()
Последнее исправление: grem (всего исправлений: 1)

чтобы не вводить каждый раз при входе на хост?

Имеешь в виду промежуточные хосты, на которые могут ходить другие пользователи? Тогда тебе нужно проксировать запросы к агенту (ssh -A), а не класть свои ключи на промежуточный хост.

i-rinat ★★★★★ ()
Ответ на: комментарий от Spoofing

надеюсь ты это про пароли от ssh-ключа ?? :)
а то как-то предлагать человекоориентированный пароль взамен ed25519 ключа както нелогично :)

pfg ★★★★★ ()

Единственно верный ответ, в аппаратном токене. Я лично (как и многие) боюсь не силовиков, которые всё равно получат доступ ко всем моим данным, а потерять ключи, винт сдох, например. Поэтому я делаю архивы, а не занимаюсь безопасностью.

azsx ()
Ответ на: комментарий от Extraterrestrial

максимальное сжатие для короткого ключа, который по сути своей является ПСП - излишне :)

pfg ★★★★★ ()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.