নতুন পরিবেশের সহজ সেটআপের জন্য id_rsa.pub প্রকাশ করছেন?


20

নতুন মেশিন এবং পরিবেশে পাসওয়ার্ডহীন এসএসএইচ স্থাপন সহজ করার জন্য, id_rsa.pubফাইলটি (কী জুটির কেবলমাত্র জনসাধারণের অর্ধেক) ওয়েবে কোথাও প্রকাশিত না হওয়ার কোনও কারণ আছে ? উদাহরণস্বরূপ একটি ডটফাইলে গিটহাবের সংগ্রহস্থল।

আমি সচেতন যে:

  • id_rsaফাইল (কী জোড়া ব্যক্তিগত অর্ধেক) সাবধানে সতর্ক করা হবে এবং
  • কী জোড়াটি একটি পাসফ্রেজের সাহায্যে সুরক্ষিত করা উচিত

তবে আমার অনুসন্ধানগুলি এর অনুমোদিত বা উত্সাহিত এমন কোনও সুস্পষ্ট পরামর্শ গ্রহণ করে নি।

কৌতূহলবশত, একই পরামর্শ কী পাসফ্রেজ ছাড়াই কিপাইয়ারের জন্য ধারণ করবে?


2
যদিও এটি সাধারণ ক্ষেত্রে নিরাপদ থাকতে পারে (সঠিকভাবে উত্পন্ন কীটি ধরে নেওয়া), অতীতে ত্রুটিগুলি বিদ্যমান ছিল (বিখ্যাত দেবিয়ান ওপেনএসএইচ বাগ ) যা কী স্পেসকে কঠোরভাবে সীমাবদ্ধ করেছিল এবং পাবলিক কীটির উপর ভিত্তি করে ব্যক্তিগত কী অনুমানযোগ্য রেখে গেছে gu সুতরাং সর্বদা সেই ঝুঁকি থাকে - আপনি কীভাবে জানবেন যে আপনার এসএসএইচ কীজেন একইরকম ত্রুটি ভুগছে না?
বব

2
এর জন্য একটি প্রক্রিয়া ইতিমধ্যে বিদ্যমান:
এসএসএস

যাতে আপনি মেশিনের মধ্যে id_rsa.pub ভাগ করতে পারেন?
ফেডেরিকো

উত্তর:


26

আরএসএ বিশেষত আপনাকে সেই সর্বজনীন কী ভাগ করার অনুমতি দেওয়ার জন্য ডিজাইন করা হয়েছে, তাই হ্যাঁ, আপনি এটি প্রকাশ করতে পারেন। এটি আরএসএ শংসাপত্রগুলির সাথে x.509 (এবং SSL) কীভাবে কাজ করে তার সাথে বেশ মিল pretty

ফাইলটি প্রকাশের আগে আসলে এটি দেখুন; "ssh-rsa" মূল শব্দটি এবং বেস 64-এনকোডড কীগুলি কেবল সেখানে থাকা দরকার। আপনি এটিতে রাখতে চাইতে পারেন (আমি বিশ্বাস করি এটি এখন ডিফল্ট)।

কীটির পাসফ্রেজ রয়েছে কিনা তা সত্য। একটি পাসফ্রেজ ব্যক্তিগত কী এনক্রিপ্ট করে এবং পাবলিক কীকে প্রভাবিত করে না।

বরাবরের মতো নিশ্চিত করুন যে আপনার কীটি যথেষ্ট পরিমাণে এনট্রপিক এবং বড়। এটি যদি কোনও ভাঙা PRNG দ্বারা উত্পাদিত হয় তবে এটি অনুমানযোগ্য হতে পারে। তবে এটি প্রকাশ করা খুব বেশি অতিরিক্ত ঝুঁকি নিয়ে আসে না, যেহেতু কী স্পেসটি যদি ছোট হয় তবে কোনও আক্রমণকারী কেবল সঠিক নম্বর না পাওয়া পর্যন্ত গণ্যকৃত স্পেসের সমস্ত কী দিয়ে চেষ্টা করতে পারে।

আমি একটি 4096-বিট কী (সুনির্দিষ্ট -b 4096) ব্যবহার করার পরামর্শ দিচ্ছি , যাতে কারওর জন্য আপনার পাবলিক কীটি ব্যক্তিগত একটিতে রূপান্তরিত করা স্বাভাবিকের চেয়ে বেশি ডিফল্ট (ডিফল্ট 2048) হয়। এটি করার ক্ষেত্রে এটিই একমাত্র তাত্পর্যপূর্ণ ঝুঁকি এবং এটি অ্যালগরিদমকে বিশেষত অবজ্ঞামূলক করার জন্য তৈরি করা হওয়ায় এটি খুব বড় বিষয় নয়।


33

এটি ইতিমধ্যে হয়। :) আপনার গিথুব প্রোফাইল ইউআরএলটির শেষে কেবল ".keys" রেখে দিন:

https://github.com/tjmcewan.keys


থান্ট সত্যিই আকর্ষণীয়। গিটহাব কীসের জন্য এটি প্রকাশ করে?
রিচার্ডনিশ

কনভেনিয়েন্স। :) এটি সর্বজনীন কী, সর্বোপরি - এটি ভাগ করে নেওয়ার অর্থ। একজন নতুন সহযোগীর কী ধরে নেওয়া এবং এটি আপনার সার্ভারে যুক্ত করা এখন অনেক সহজ। পিছনে এবং পিছনে ইমেল সংরক্ষণ করে।
tjmcewan

আমি বুঝতে পারি নি যে তারা এটা করেছে।
জেব 2

1
গিথুবে আকর্ষণীয় সন্ধানের জন্য +1।
রেমন্ড তাউ

5

যদিও একটি নিয়ম হিসাবে আমি আপনার নিজস্ব নির্দিষ্ট কনফিগারেশনটিকে পাবলিক প্রকল্পের সংগ্রহস্থলগুলিতে রাখার প্রস্তাব দিচ্ছি না (ধরে নিই রেপো প্রত্যেকের জন্য এবং আপনার কনফিগারেশনটি একা আপনার পক্ষে , এটি কেবল সামান্য অভদ্র), সুরক্ষা সম্পর্কিত প্রভাবগুলি ন্যূনতম।

একমাত্র যুক্তিসঙ্গত আক্রমণকারী ভেক্টর কোনওভাবে দূষক প্রসঙ্গে আপনাকে সনাক্ত করতে সেই পাবলিক কীটি ব্যবহার করছে । যা হতে পারে তা আমার বাইরে is

একটি কোণার মামলার আক্রমণকারী ভেক্টর রয়েছে যা সম্ভবত প্রয়োগ হয় না, তবে আপনি যদি দেবিয়ান দুর্ঘটনাক্রমে ওপেনসেল পিআরএনজি ভেঙে ফিয়াস্কোটি স্মরণ করেন তবে কোনও আক্রান্ত সিস্টেমে উত্পন্ন যে কোনও এসএস কী সহজেই অনুমানযোগ্য এবং এর পাবলিক কী দ্বারা চিহ্নিত করা যেতে পারে। সুতরাং সেই ক্ষেত্রে, সর্বজনীন কী প্রকাশ করা আপনাকে সমস্যায় ফেলতে পারে। বা আরও যথাযথভাবে, যে কীটি কোনও কিছুর জন্য ব্যবহার করা আপনাকে সমস্যায় ফেলতে পারে।


ভেক্টর 1. আঙুলের ছাপের সংঘর্ষ সম্পর্কে কীভাবে? এটি জনসাধারণের কী থেকে অনেক কম; ভেক্টর 2 মিম আক্রমণ যেমন "ওফ সার্ভারটি পুনরায় ইনস্টল করতে হয়েছিল এটির একটি আলাদা কী রয়েছে তবে দয়া করে যেভাবেই লগ ইন করুন" এবং প্রদত্ত ব্যবহারকারীর পাবলিক কীগুলির জন্য জাল সফল প্রমাণীকরণ (যদি এটি সম্ভব হয় তবে আমি নিশ্চিত নই)

1

হ্যাঁ, আপনি আপনার এসএসএইচ পাব্বিকে প্রকাশ করতে পারেন। এবং আপনি ডিএনএসে এসএসএইচএফপি রেকর্ড ব্যবহার করে সার্ভারের একটি আঙুলের ছাপ প্রকাশ করতে পারেন ! এটি সত্যই হ্যান্ডেল হতে পারে, উদাহরণস্বরূপ, আপনার যদি কোনও সার্ভারের এসএসএইচ কী আপডেট করতে / পরিবর্তন করতে হয়।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.