it-swarm-es.tech

¿Es una mala idea usar la misma clave ssh privada en varias computadoras?

Recientemente compré una computadora portátil desde la cual necesito acceder a los mismos hosts remotos que hago desde mi escritorio. Se me ocurrió que podría ser posible simplemente copiar el archivo de clave privada de mi escritorio a mi computadora portátil y evitar tener que agregar una nueva clave al ~/.ssh/authorized_keys archivos en todos los hosts a los que quiero acceder. Entonces mis preguntas son:

  1. ¿Es esto posible?
  2. ¿Hay implicaciones de seguridad no obvias?
  3. A veces, iniciaré sesión en mi escritorio desde mi computadora portátil. Si se usara la misma clave, ¿causaría algún problema?
37
Jason Creighton

Si, esto es posible. Su clave privada no está vinculada a una sola máquina.

No estoy seguro de lo que quieres decir con no obvio, que a menudo es subjetivo;). No es una mala idea en absoluto si te aseguras de tener un conjunto de frases de contraseña muy fuerte, de 20 caracteres como mínimo.

No hay problemas para conectarse con la misma clave que su escritorio. Configuraría un agente ssh para su clave en la computadora portátil y lo reenviaría al escritorio, por lo que usará esa clave en otros sistemas a los que acceda desde allí.

Desde la página de manual de ssh-agent en un sistema Linux:

ssh-agent es un programa para contener claves privadas utilizadas para la autenticación de clave pública (RSA, DSA). La idea es que ssh-agent se inicie al comienzo de una sesión X o una sesión de inicio de sesión, y todas las demás ventanas o programas se inician como clientes del programa ssh-agent. Mediante el uso de variables de entorno, el agente se puede ubicar y usar automáticamente para la autenticación al iniciar sesión en otras máquinas usando ssh (1).

Ejecutaría esto en su computadora portátil, ya sea el programa ssh-agent en Linux/Unix (viene con OpenSSH) o con el agente PuTTY si está utilizando Windows. No necesita que el agente se ejecute en ningún sistema remoto, simplemente mantiene su clave privada en la memoria del sistema local, por lo que solo tiene que ingresar su frase de contraseña una vez para cargar la clave en el agente.

El reenvío de agentes es una característica del cliente ssh (ssh o PuTTY) que simplemente persiste al agente a través de la conexión ssh a otros sistemas.

31
jtimberman

Solía ​​usar una sola clave privada en todas mis máquinas (y en algunas de ellas solo soy usuario, no administrador), pero recientemente cambié esto. Funciona con una clave, pero significa que si necesita revocar la clave (si está comprometida), deberá cambiarla en todas las máquinas.

Por supuesto, si un atacante obtiene acceso y puede ingresar a otra máquina, puede obtener la clave de esa máquina, y así sucesivamente. Pero me hace sentir un poco más seguro saber que puedo revocar solo una tecla y bloquear esa máquina. Sin embargo, sí significa que necesito eliminar la clave del archivo autorizado_claves.

10