সুরক্ষার জন্য কেন গুগল জিসিই থেকে এসএসএইচ কীগুলি সরানোর পরামর্শ দেয়?


15

গুগল ডকুমেন্টেশনের নীচের উল্লেখটি আর সত্য নয়।

গুগল এসএসএইচ সুরক্ষিত করার জন্য জিসিই উদাহরণ থেকে এসএসএইচ কীগুলি সরিয়ে ফেলার পরামর্শ দিচ্ছে। এটি আমার কোনও অর্থবোধ করে না। সুরক্ষার জন্য কীগুলি আছে, তাই না? আমি কীগুলি সরিয়ে দিলে এসএসএইচডি কাজ বন্ধ করে দেয়। আমি সম্ভবত তাদের কথা মিস করছি। কেউ এর দ্বারা কী বোঝাতে চাইছেন:

Ssh হোস্ট কীগুলি সরান

আপনার উদাহরণ সহ ssh হোস্ট কী ব্যবহার করবেন না। নিম্নলিখিত হিসাবে সেগুলি সরান:

rm /etc/ssh/ssh_host_key
rm /etc/ssh/ssh_host_rsa_key*
rm /etc/ssh/ssh_host_dsa_key*
rm /etc/ssh/ssh_host_ecdsa_key*

2
দস্তাবেজটি সক্ষম করার পরামর্শ দেয় StrictHostKeyCheckingএবং পরে এটি অক্ষম করার পরামর্শ দেয়। আমার সন্দেহ হয় এটি খুব যত্ন সহকারে সম্পাদিত নথি নয়। আমার পরামর্শটি হ'ল আপনার নিজের রায়কে বিশ্বাস করা, এবং হোস্ট কীগুলি ব্যবহার করা উচিত যদি না এর উপযুক্ত কারণ থাকে।
aecolley

@ এ্যাকোলি আমি এটিও লক্ষ্য করেছি। আমি তাদের কাছে একটি প্রতিক্রিয়া জমা দিয়েছি। তারা আমার কাছে ফিরে আসবে কিনা তা দেখবে।
মার্টিন প্রিক্রিল

1
আমি নীচে বিশদ বিবরণ দিয়েছি, তবে এটি প্রসঙ্গে উত্সাহিত করে - আপনি যে পৃষ্ঠায় সন্ধান করছেন সেটি নতুন মেশিন তৈরির জন্য পরামর্শ দিচ্ছে, সাধারণত কোনও মেশিন সুরক্ষার জন্য নয়। কারণগুলি পরিষ্কার না হওয়ায় আপনি কখন এবং কেন আপনার হোস্ট কীগুলি মুছতে চান তার চারপাশে আরও বিশদ অন্তর্ভুক্ত করার জন্য ডক্সকে আপডেট করব।
বেনসন

উত্তর:


12

সমালোচনামূলক বিবরণটি হ'ল আপনি যে পৃষ্ঠাটি রেফারেন্স করেছেন সেটি একটি নতুন কম্পিউট ইঞ্জিন মেশিন ইমেজ তৈরির বিষয়ে। বিশেষত, আপনি একটি নতুন ভার্চুয়াল মেশিন চিত্র তৈরি করার সময়, আপনি এটি নিশ্চিত করতে চান যে এতে কোনও হোস্ট কী অন্তর্ভুক্ত নেই। এইভাবে, যখন চিত্রটি ক্লোন করে একটি আসল ভিএম-তে পুনর্গঠিত করা হবে তখন sshd প্রারম্ভিক স্ক্রিপ্টটি স্বীকৃতি দেবে যে কোনও হোস্ট কী নেই, এবং স্বয়ংক্রিয়ভাবে নতুন তৈরি করা হবে। এটি আকাঙ্খিত কারণ একই হোস্ট কী ব্যবহার করে একাধিক মেশিন থাকা খুব খারাপ ধারণা।

সুতরাং, সাধারণ ক্ষেত্রে, দয়া করে আপনার হোস্ট কীগুলি মুছে ফেলবেন না, তবে আপনি যদি একটি নতুন চিত্র তৈরি করছেন, তবে হোস্ট কী এবং মেশিনগুলির মধ্যে একের মধ্যে সম্পর্ক রয়েছে তা নিশ্চিত করার জন্য এটি একটি গুরুত্বপূর্ণ পদক্ষেপ।


1
ধন্যবাদ। এইবার বুঝতে পারছি. যদিও কিছু ব্যাখ্যা সাহায্য করবে। "আপনার দৃষ্টান্তের সাথে ssh হোস্ট কী ব্যবহার করবেন না" " আসলেই একটি বিভ্রান্তিকর বাক্য।
মার্টিন প্রিক্রিল

আমি সম্পূর্ণরূপে একমত - এটি উল্লেখ করার জন্য অনেক ধন্যবাদ। আমি শব্দটির স্পষ্টতা বলতে ডক্সকে একটি আপডেট জমা দিয়েছি যা আমার সন্দেহ হয় যে খুব শীঘ্রই তাড়িয়ে দেওয়া হবে।
বেনসন

1
আপডেট হওয়া ডক্সটি এখন লাইভ: developers.google.com/compute/docs/images#removesshkeys
বেনসন

13

আমি কেবলমাত্র সম্ভাব্য কারণটিই ভাবতে পারি তা হ'ল তারা আপনাকে নতুন কী পুনরুত্পাদন করতে বাধ্য করতে চায়।
আপনার অ্যাক্সেস করার আগে এই কীগুলি তৈরি করা হয়েছিল বলে সেগুলিতে বিশ্বাসযোগ্য হতে পারে না।
এগুলি সরিয়ে ফেলা এবং পুনরায় চালু করা sshdআপনার জন্য কীগুলি পুনরায় তৈরি করবে।
তবে দস্তাবেজটি সত্যই তা পরিষ্কার করে না।

এটি খাঁটি জল্পনা এবং তাদের সাথে যোগাযোগ করে এই বিষয়ে স্পষ্টতা পাওয়া ভাল would


4
আপনার প্রতিক্রিয়ার জন্য ধন্যবাদ. পুনরায় আরম্ভ করার জন্য আমাকে সার্ভারে এসএসএস করতে হবে sshd। তবে সংযোগের জন্য আমাকে "অবিশ্বস্ত" সার্ভারের হোস্ট কীটি গ্রহণ করতে হবে। সুতরাং এই অধিবেশন চলাকালীন আমি যা কিছু করি তা বিশ্বাস করা যায় না। এমনকি sshd পুনরায় আরম্ভ। রাইট?
মার্টিন প্রিক্রিল

1
আমি অনুমান করি যে মূল উদ্বেগটি হ'ল কোনও কারণে অন্য গ্রাহক আপনার মতো একই কী পেয়েছেন (দ্রষ্টব্য: এটি তাদেরকে আপনার উদাহরণ অ্যাক্সেস করতে সক্ষম করে না তবে আপনাকে মধ্য-মধ্যবর্তী আক্রমণটি সহজ করে তোলে)। আপনি যদি চিত্র সরবরাহকারীকে বিশ্বাস না করেন তবে আপনার সেখানে কোনও কিছুই চালানো উচিত নয় (তাদের ব্যবহারিকভাবে শারীরিক অ্যাক্সেস রয়েছে)।
দুর্বল

1
আইআইআরসি এমন কিছু গবেষণা হয়েছে যা দেখায় যে কিছু সিস্টেমে এনট্রপির মান বিশেষত এম্বেড করা হয়েছে তবে এতে নতুন করে শুরু হওয়া ভার্চুয়াল মেশিনগুলির কয়েকটি বিভাগ অন্তর্ভুক্ত থাকতে পারে, খুব বেশি নয় isn't যখন প্রথম বুটে সর্বজনীন কী তৈরি করা হয়, যেমন এসএসএইচ হোস্ট কীগুলি কীগুলি অনুমানযোগ্য হতে পারে।
এইচবিউইজন

@ এইচবি ব্রুইজন মন্তব্যের জন্য ধন্যবাদ। তবে এগুলি মুছে ফেলা এবং পুনরায় আরম্ভ করার জন্য এসএসডিএসকে পুনরায় তৈরি করতে দেওয়া তাদের ভাল করে না। আপনাকে নিজের আপলোড করতে হবে। তবে এটি নথিতে আচ্ছাদিত নয়।
মার্টিন প্রিক্রিল

1
আমি গুগলে একটি প্রতিক্রিয়া জমা দিয়েছি। তারা আমার কাছে ফিরে আসবে কিনা তা দেখবে।
মার্টিন প্রিক্রিল
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.