Вопрос: Использование проверки пары ключей ssh ​​и отключение аутентификации пароля ssh - что произойдет, если личный ключ потерян?


Я настраиваю свой первый сервер на Linode и просматриваю их обучающие программы.

В их Защита сервера , рекомендуется использовать проверку пары ключей ssh ​​и отключение аутентификации пароля.

Мой вопрос заключается в том, что я отключу проверку подлинности паролем - что, если я потеряю свой секретный ключ? Как я смогу снова вернуться на свой сервер?


7
2018-05-10 23:53


Источник


Для этого нужны резервные копии.


Ответы:


Мой вопрос: если я отключу аутентификацию паролей - что, если я проиграю   мой личный ключ? Как я смогу вернуться на свой сервер   еще раз?

Поэтому для вашего сервера всегда должна быть какая-то форма управления Out-Band. Для физического сервера это будет нечто вроде карты DRAC от Dell или карты iLO HP. Для вашего Linode, вот что Лиш для. Используя эти OOB-решения, вы можете войти в реальную консоль своего сервера, используя свое имя пользователя и пароль. Они также пригодится, когда сеть разбивается на ваш сервер, и вы не можете получить к ней доступ.

Но, честно говоря, просто не теряйте свой ключ. Защитите его парольной фразой и заставьте ее где-нибудь в безопасности. Черт возьми, Распечатать его и засуньте в свой сейф. Это относительно небольшие файлы, и нет никаких оснований для того, чтобы не заботиться об этом.

Обновить: Что касается безопасности LISH: используйте разные учетные данные / ключи для LISH. Это все, что нужно - учетные данные, которые, если они были скомпрометированы, не будут предоставлять доступ к вашему серверу.

Что касается того, кто узнает, что Linode является вашим провайдером, хорошо, что информация доступна для кто угодно, и это просто whois команду прочь.


16
2018-05-11 01:06



Я полагаю, что «оправдание за то, что он не заботится о нем», - это именно то, что вы все еще можете войти в LISH или Out-of-Band. Если у вас есть Linode, вы можете установить корневой пароль этого окна так же, как и пароль Linode. Тогда нет причин отключать аутентификацию паролей, так как любой, кто знает ваш пароль Linode, может в любом случае сделать плохие вещи на вашем сервере. - Atsby
@Atsby. Причина в том, что в словаре лучше всего будет атаковать ящик, чем система Linode. И если они преуспеют, вы просто указали им свой пароль Linode. Помните, что если вы повторно используете пароли, то все эти системы столь же безопасны, как и слабейший один. - xorsyst
@Atsby Хорошо, если кто-то это делает, они заслуживают того, чтобы скомпрометировать. Различные системы, разные учетные данные, всегда. - EEAA♦
@Atsby, внеполосное управление может (должно) иметь свои собственные ограничения безопасности. В некоторых случаях это может означать необходимость физического посещения центра обработки данных или, по крайней мере, подключение к VPN с отдельными ключами. Если Linode не ограничивает скорость, чтобы предотвратить нападение LISH и kin, они не выполняют свою работу эффективно. (Конечно, ограничение скорости открывает дверь для DOS-атак, но есть и контрмеры против этого: необходимость выбирать хорошие балансы является частью того, почему лучше иметь безопасность в руках людей, у которых есть время и забота это правильно). - Charles Duffy
@xorsyst. Я думаю, все понимают, что если у вас есть пароль, который можно найти при атаке по словарю, это ваша проблема прямо там - не нужно глубже смотреть на свойства безопасности системы. - Atsby


Вы будете заблокированы, как если бы вы забыли пароль root.

Что вам нужно сделать, это создать резервную копию вашего ключа на внешних носителях и поместить его в безопасное место. С парольной фразой внутри коробки в банке, если вы параноидальный тип.

Разумеется, существуют различные преднамеренные бэкдоры, такие как VNC Digitalocean. И / или любую управляемую службу резервного копирования, в которой вы можете выталкивать файлы на компьютер (просто нажимайте конфигурацию sshd, где разрешены логины паролей), например Idera.


2
2018-05-11 03:12



Так же, как и в стороне, именно поэтому мой VPS имеет Идера. Мое подключение к SSH является более безопасным, поскольку оно прямо требует, чтобы вы находились в частной виртуальной частной сети с сертификатами. Поэтому, если конфигурация VPN ухудшается, это полная блокировка. Если я не могу использовать консоль управления, чтобы нажать резервную копию предыдущего. - Arthur Kay