স্থানীয়ভাবে এসএসএইচ কী কী যুক্তিকে অবচয় করার পদ্ধতি

10

আমি আমার এসএস-কিগুলি কিছুক্ষণ ব্যবহার করছি। আমি আমার ssh কী জুটিকে একটি শক্তিশালী এনক্রিপশনে আপগ্রেড করার কথা ভাবছি এবং যেখানে আমার কীগুলি নিবন্ধিত আছে সে সমস্ত ডিভাইস আমি জানি না।

স্থানীয়ভাবে কোনও এসএসএইচ কী " অবমূল্যায়ন " করার পক্ষে কি এহেতু , যদি আমি একজন অবহেলিত এসএসএইচ কী দিয়ে প্রমাণীকরণ করি তবে আমি একটি সতর্কতা পেয়েছি?

security ssh-keys

— tim0_o
সূত্র

আপনি এটিতে থাকাকালীন, আমি পরামর্শ দেব যে আপনি একাধিক হোস্টের জন্য একই এসএসএইচ কীটি ব্যবহার বন্ধ করুন; এটি অকারণে আক্রমণ পৃষ্ঠের পাশাপাশি লঙ্ঘনের ক্ষেত্রে কীটির মান বাড়িয়ে তোলে। পরিবর্তে, আপনি সংযুক্ত প্রতিটি হোস্টের জন্য একটি কী ব্যবহার করুন; আদর্শভাবে, প্রতিটি ক্লায়েন্ট এবং সার্ভার জুটির জন্য একটি কী ব্যবহার করুন (তবে আপনার যদি অনেক সার্ভারের সাথে সংযোগ স্থাপনকারী অনেক ক্লায়েন্ট সিস্টেম থাকে তবে এটি স্কেলটি খারাপভাবে ব্যবহার করে)। আমি মন্তব্য বা কী নামে প্রজন্মের তারিখের সাথে কীগুলি ট্যাগ করতে চাই, সেগুলি কতটা পুরানো তা ট্র্যাক করে রাখতে। তারপরে পুনর্নবীকরণের জন্য আপনার ক্যালেন্ডারে প্রতি 6-24 মাস বা ততোধিক পুনরাবৃত্ত অনুস্মারক সেট আপ করুন।

— একটি সিভিএন

@ মাইকেলকিজারলিং আমি আপনার পরামর্শের প্রথম অংশের সাথে একমত নই। প্রচুর কী জুড়ি তৈরি করা যেখানে সমস্ত ব্যক্তিগত কী একই মেশিনে একই অনুমতি সহ সঞ্চিত থাকে তা কোনও উল্লেখযোগ্য সুরক্ষা উন্নতি সরবরাহ করে না। যদি কোনও আপোষ করা হয় তবে সম্ভবত তাদের বাকিগুলিও আপোস করা হয়। এবং এক্ষেত্রে অনেকগুলি মূল জুটি থাকার অর্থ হ'ল একবার আপনি কোনও নতুন কী জুড়ি উত্পন্ন করার কারণ দেখলে এগুলি ঘোরানোর সাথে আরও কাজ করা হবে। মন্তব্যে একটি প্রজন্মের তারিখ যুক্ত করার অংশটি ভাল পরামর্শ (আমি ইচ্ছা ssh-keygenকরি এটি ডিফল্টরূপে করা উচিত)।

— ক্যাস্পারড

@ ক্যাস্পার্ড আপনি একটি ভাল বক্তব্য রেখেছেন। আমি মনে করি বরাবরের মতো, এটি আপনার হুমকির মডেলের উপর নির্ভর করে। আমি সন্দেহ করি যে আমি স্পষ্টতই ধরে নিয়েছি যে কীগুলির বিভিন্ন পাসফ্রেজ থাকবে, যা আমি দেখতে পাচ্ছি যে কীভাবে বিপুল সংখ্যক কীগুলি সর্বদা ব্যবহারিক নাও হতে পারে, যদি না আপনি মিশ্রণটিতে কোনও পাসওয়ার্ড ম্যানেজার যুক্ত করতে চান না। এটা তোলে নেই তবে কিছু অনুমতি খুব কি ওপি বর্ণনা করা হয় পাসে থেকে একটি কী করতে অন্য সম্পর্কগুলি প্রভাবিত না করেই "অসমর্থিত" হতে খুব সহজেই। আমি শেষ পর্যন্ত সন্দেহ করি, এটি ব্যক্তিগত স্বাদের বিষয়।

— একটি সিভিএন

9

আমি এই জাতীয় কিছু করার কোনও উপায় জানি না তবে এটি কীভাবে কার্যকর হবে তা আমি দেখতে পাচ্ছি। আমি কী করতে চাইছি তা হ'ল আমার এসএসএইচ এজেন্টের অবহেলিত কী যুক্ত করা বন্ধ করুন। এইভাবে, যতবার এটি ব্যবহৃত হয়, ততবার আমাকে পাসফ্রেজটি আবার প্রবেশ করতে হবে। যদি এটি "উঘ, অন্য একটি ঠিক করা" এর মতো কিছু হয় তবে এটি প্রতিবার আমাকে মনে করিয়ে দেবে যে আমি সেই মেশিনে আমার কীটিও ঘোরানোর জন্য পেয়েছি।

— বোকা
সূত্র

এই ক্ষেত্রে ফাইলটি অন্য ডিরেক্টরিতে স্থানান্তর করতে (ডিসট্রো / ডিই এর উপর নির্ভর করে) দরকারী হতে পারে, উদাহরণস্বরূপ সমুদ্রতঃ~/. ssh স্বয়ংক্রিয়ভাবে সমস্ত কী ব্যবহার করে ।

— গুটবার্ট

1

যা কিছু করে তা পুড়িয়ে ফেলা দরকার। এর অর্থ হল যে আপনি ছয়টিরও বেশি কী (মুহূর্তে কয়েক ডজন পেয়েছেন) আপনি অনেক ব্যর্থতার কারণে ব্যর্থ লেখককে শেষ করবেন (প্রতিটি কী যা উপস্থাপিত হয়েছে এবং প্রত্যাখ্যান করা ব্যর্থ গণনার দিকে গণনা করে)।

— ওম্বল

5

আপনি পুরানো ssh কীটি একটি অ-ডিফল্ট লোকেশনে স্থানান্তর করতে পারেন (যেমন, ~ / .ssh / অবহেলিত_আইডি_আর্সা) এবং তারপরে desired / .ssh / id_rsa এ আপনার পছন্দসই বৈশিষ্ট্য সহ একটি নতুন ssh কী তৈরি করতে পারেন

এইভাবে আপনার প্রয়োজন বোধ করলে আপনার অবহিত কী পাওয়া যায় ssh -i ~/.ssh/deprecated_id_rsa ...তবে আপনি নতুন কীটি ব্যবহার করে ডিফল্ট হয়ে যাবেন।

— পদাঙ্গুলি
সূত্র