Ssh কী পরিচালনার জন্য সেরা সিস্টেম? [বন্ধ]

42

আমি বেশ কয়েকটি ক্লায়েন্ট কম্পিউটার পেয়েছি (যেমন ল্যাপটপ, ডেস্কটপ ইত্যাদি), এবং আমি পরিচালনা করি এমন বেশ কয়েকটি সার্ভার মেশিনের সাথে সংযুক্ত হয়েছি এবং আমি এসএসএইচ এর মাধ্যমে সেগুলিতে লগইন করেছি। আমি ssh কী পরিচালনার বেশ কয়েকটি স্কিম কল্পনা করতে পারি যা বুঝতে সক্ষম হবে এবং অন্যেরা কী করবে সে সম্পর্কে আমি আগ্রহী।

বিকল্প 1: একটি গ্লোবাল পাবলিক / প্রাইভেট কিপায়ার।

আমি একটি পাবলিক / প্রাইভেট কী তৈরি করতে এবং প্রতিটি ক্লায়েন্ট মেশিনে প্রাইভেট কী এবং প্রতিটি সার্ভার মেশিনে পাবলিক কী রেখে দেব।

বিকল্প 2: সার্ভার মেশিনে একটি কিপায়ার।

আমি প্রতিটি সার্ভার মেশিনে একটি কিপাইর তৈরি করব এবং আমার ক্লায়েন্ট মেশিনে প্রতিটি ব্যক্তিগত কী রেখে দেব।

বিকল্প 3: ক্লায়েন্ট মেশিনে একটি কিপায়ার।

প্রতিটি ক্লায়েন্ট মেশিনের একটি অনন্য ব্যক্তিগত কী থাকবে এবং প্রতিটি সার্ভার মেশিনে প্রতিটি ক্লায়েন্ট মেশিনের জন্য সর্বজনীন কী থাকবে যা থেকে আমি সংযোগ করতে চাই।

বিকল্প 4: ক্লায়েন্ট / সার্ভার জুটির জন্য একটি কিপায়ার

পুরোপুরি ওভারবোর্ড?

এর মধ্যে কোনটি সেরা? অন্য বিকল্প আছে? সঠিক কনফিগারেশনটি মূল্যায়নের জন্য আপনার কী মানদণ্ড ব্যবহার করা হয়?

ssh  authentication 
slacy
সূত্র

উত্তর:

33

আমি বিকল্প 3 ব্যবহার করি : প্রতি ক্লায়েন্ট মেশিনে একটি কিপায়ার এটি আমার কাছে সবচেয়ে বেশি অর্থবোধ করে। এখানে কয়েকটি কারণ রয়েছে:

  • যদি কোনও ক্লায়েন্ট আপোস হয় তবে সেই কীটি (এবং কেবলমাত্র কী) সার্ভারগুলি থেকে সরানো দরকার।
  • সমস্ত ক্লায়েন্টের সমস্ত সার্ভারে কম্বল অ্যাক্সেস না দিয়ে আমি কোথায় থেকে অ্যাক্সেস করতে পারি তা ঠিক করার জন্য এটি যথেষ্ট নমনীয়।
  • খুব সুবিধাজনক. এসএসএড-এর জন্য কেবলমাত্র 1 টি কী আছে, কোনও বিভ্রান্তি নেই।
  • অপশন 4 এর উপর সেট আপ করা এবং পরিচালনা করা সহজ

অপশন 4 দুর্দান্ত , তবে এটি খুব বেশি কাজ। বিকল্প 3 আপনাকে সেখানে 98% অনেক কম ঝামেলা করে।

dwc
সূত্র
4
আমি বিকল্প 4 এর পয়েন্টটি দেখতে ব্যর্থ। এটি কোনও উদ্দেশ্য করে না।
niXar
26

আমি এমন একটি সমাধান ব্যবহার করি যা কিছুটা জটিল তবে খুব বহুমুখী কারণ আমি আমার হোম নেটওয়ার্ক সার্ভার, অফিস সার্ভার, ক্লায়েন্ট নেটওয়ার্ক সার্ভার এবং আমার অ্যাকাউন্টে থাকা অন্যান্য বিভিন্ন সিস্টেমে পরামর্শ নেওয়া জন্য ব্যবহৃত এসএসএইচ সনাক্তকরণ কীগুলিতে কিছুটা বিচ্ছিন্নতা বজায় রাখতে চাই।

এখন বলেছে যে আমি লিনাক্স ওয়ার্কস্টেশনগুলি থেকে প্রায় একচেটিয়াভাবে কাজ করি তাই আমার কাছে একটি ইউএসবি কী রয়েছে যা এলইউকেএস এনক্রিপশন ব্যবহার করে সেটআপ করা হয় এবং আমার এক্স 11 উইন্ডো ম্যানেজারের সাথে এলএইচএল ডিমনটি সনাক্ত করে এবং ডিক্রিপশন পাসফ্রেজের জন্য অনুরোধ করা হয় যখন এটি sertedোকানো হয় এবং চেষ্টা করা হয় মাউন্ট করা। এটিকে কোনও এনক্রিপ্ট করা ড্রাইভে সংরক্ষণ করে আমি কখনই কোনও এসএসএইচ কী কোনও ওয়ার্কস্টেশনে সঞ্চয় করি না।

আমার তখন আমার ~/.ssh/configফাইলে নিম্নলিখিত কনফিগারেশন রয়েছে :

Host *
    Protocol 2
    IdentityFile %d/.ssh/keys.d/id_rsa.%l
    IdentityFile %d/.ssh/keys.d/id_dsa.%l
    IdentityFile %d/.ssh/keys.d/%u@%l

% D টি OpenSSH- র দ্বারা ব্যবহারকারীর হোম ডিরেক্টরি হতে অনুবাদ করা হয় এবং ~ / .ssh ডিরেক্টরি আমি তৈরি করেছি keys.d যখন এটি সঠিকভাবে মাউন্ট করা এনক্রিপ্ট ইউএসবি ড্রাইভে ডিরেক্টরির পাথ করার জন্য একটি সিমবলিক লিঙ্ক হিসাবে।

% ঠ অভিব্যক্তি স্থানীয় ক্লায়েন্ট মেশিনের হোস্ট-নেম এবং হতে অনুবাদ করা হয় % U স্থানীয় ক্লায়েন্টের ব্যবহারকারী নামে অনূদিত হবে।

এই কনফিগারেশনটি যা করে তা হ'ল এসএসএইচকে 3 টি বিভিন্ন এক্সপ্রেশন ব্যবহার করে কোনও কী অনুসন্ধান করতে দেওয়া। উদাহরণস্বরূপ, যদি আমার স্থানীয় ক্লায়েন্টের ব্যবহারকারীর নাম jdoeএবং আমার স্থানীয় ক্লায়েন্ট মেশিনের নাম examplehostথাকে তবে এটি নিম্নলিখিত ক্রমে ততক্ষণ তাকান যতক্ষণ না এটি এমন কোনও কী খুঁজে না পেয়ে যে দুটোই বিদ্যমান এবং দূরবর্তী সার্ভারের দ্বারা গ্রহণ না হয়ে যায় accepted

/home/jdoe/.ssh/keys.d/id_rsa.examplehost
/home/jdoe/.ssh/keys.d/id_dsa.examplehost
/home/jdoe/.ssh/keys.d/jdoe@examplehost

এমনকি আপনি ব্যবহার করতে পারে % R দূরবর্তী সার্ভারে ব্যবহারকারী নাম বা এর জন্য একটি কী নির্দিষ্ট জন্য চেহারা অভিব্যক্তি % জ দূরবর্তী সার্ভারে হোস্ট-নেম ঠিক জন্য % U এবং % ঠ ব্যবহার করা হয়েছে।

আপডেট: এখন আমি আসলে আমার ওপেনজিপিপি ভি 2 স্মার্টকার্ড থেকে প্রমাণীকরণ কীটি পড়তে ও ব্যবহার করতে এসএনএস-এজেন্টের সামঞ্জস্যের সাথে GnuPG জিপিজি-এজেন্টকে ব্যবহার করি।

জেরেমি বাউস
সূত্র
বাহ, দুর্দান্ত সমাধান, ধন্যবাদ! আমি :0 / .ssh / কনফিগারেশন
ভালবাসি
কাজের জন্য পৃথক রাখা ব্যক্তিগত এবং ব্যক্তিগত ক্লায়েন্ট নেটওয়ার্ক সার্ভারগুলির পক্ষে নিজেকে যথেষ্ট সুবিধাজনক প্রমাণিত করেছে ... আমি তাদের মধ্যে প্রমাণীকরণের মিশ্রণ করতে চাই না তবে এটি আমার পক্ষে সহজ হওয়া চাই।
জেরেমি বাউস
অ্যামেজিং! আমি আসলেই এটা ভালোবাসি।
বালু
আমি ধরে নিয়েছি আপনি বিভিন্ন ক্লায়েন্ট মেশিনের জন্য বিভিন্ন ইউএসবি কী ব্যবহার করছেন। অন্যথায় পৃথক কীগুলির বিন্দুটি কী, যদি সেগুলি সমস্ত একই জায়গায় সংরক্ষণ করা হয়? লঙ্ঘনের ক্ষেত্রে আপনাকে সেগুলির সমস্ত প্রত্যাহার করতে হবে। যদি না (এবং সম্ভবত) আমি কিছু মিস করছি তবে এটি কেবল জিনিসগুলিকে জটিল বলে মনে হচ্ছে।
হালিল Özgür
@ হালিলাজগ্রার, হ্যাঁ আমি পরামর্শ করি এবং সর্বদা একই কী ব্যবহার করতে চাই না। যেহেতু ইউএসবি কী এনক্রিপ্ট করা হয়েছে এবং কোনও সংযোগ স্থাপনের প্রয়োজন না হলে আমি কোনও কম্পিউটারের সাথে সংযুক্ত না হয়েছি সেখানে সার্ভারের লঙ্ঘন হওয়ার কোনও উদ্বেগ নেই এবং ড্রাইভ ফাইলসিস্টেমটি ডিক্রিপ্ট করার জন্য পাসফ্রেজ যথেষ্ট পরিমাণে রিভোকিং কীগুলি সহজ করতে যথেষ্ট।
জেরেমি বাউস
6

আমি আপনার বিকল্প 1 গুলি উভয়ই মুছে ফেলব (যার মধ্যে আমি সন্দেহ করি যে একটি বিকল্প 2 ;-) হিসাবে বিবেচিত হয়েছিল কারণ ব্যক্তিগত কীগুলি সংবেদনশীল ডেটা, এবং এগুলি যতটা সম্ভব কম জায়গায় রাখা অর্থবোধ করে। ব্যাকআপ নেওয়ার ব্যতীত আমি ব্যক্তিগতভাবে কখনই একটি কম্পিউটার থেকে অন্য কম্পিউটারে (বা এমনকি একই কম্পিউটারে একটি ফাইল থেকে অন্য একটি ফাইল) অনুলিপি করতাম না। যদিও বেশিরভাগ এনক্রিপশন কীগুলির বিপরীতে, যদি কোনও এসএসএইচ কী হারিয়ে যায় তবে এটি বিশ্বের শেষ নয় (কেবল একটি নতুন তৈরি করুন, আপনি কোনও ডেটা হারাবেন না)।

ডেভিড জেড
সূত্র
হ্যাঁ, একটি যথাযথ "অপশন 2" এর নাম পরিবর্তন করে আমি "কখনও কোনও ব্যক্তিগত কী অনুলিপি করি না" এই নিয়মটি পছন্দ করি। এটি একটি ভাল নিয়ম।
অস্পষ্টতা
1

বিকল্প 3 এবং কী পরিচালনা পরিচালনা করতে পুতুলের মতো কিছু ব্যবহার করুন।

Diq
সূত্র
এই হ্রাসকারীটি কি পুতুলের লিঙ্ক?
অ্যান্ডি
হ্যাঁ, এটা। সাইটে কয়েকটি উদাহরণ পরীক্ষা করে দেখতে ভুলবেন না। অন্যরা ইতিমধ্যে কী করেছে তা দেখতে সহায়তা করে - চাকাটি পুনরায় উদ্ভাবনের প্রয়োজন নেই।
ডায়িক
1

বিকল্প 3।

এটি আপনাকে ক্লায়েন্ট কোন সার্ভার অ্যাক্সেস করতে পারে তা নিয়ন্ত্রণ করতে দেয়। উদাহরণস্বরূপ, যদি ক্লায়েন্ট এক্স এর A এবং B সার্ভারগুলিতে অ্যাক্সেসের প্রয়োজন হয় তবে সি বা ডি, আপনি কেবলমাত্র সেই হোস্টগুলির জন্য এটি সর্বজনীন কীটি অনুলিপি করছেন।

pgs
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.