SSH：您是否对每台远程计算机使用一个私钥/公钥对？还是一对都适合？

如果您想为多台计算机使用基于公钥的ssh登录，是否要使用一个私钥，并在所有计算机上使用相同的公钥？还是每个连接都有一对私钥/公钥？

我使用共享公共管理边界的每套系统一个密钥。这限制了密钥被泄露时弹出的计算机的数量，同时还没有完全淹没我存储和管理数千个密钥的能力。每个密钥上的密码短语不同，这意味着即使您的所有私钥都被盗并且一个密钥已被盗用，其余密钥也不会随便掉入厕所。同样，如果您做一些愚蠢的事情（例如将私钥复制到不受信任的计算机上），则不必再次为所有密钥重新设置密钥，只需与该密钥关联的计算机即可。

公钥并不重要，因为根据定义，它可以公开。因此，唯一的问题是私钥的私密性。它们都在您自己的计算机上，并且一起存在，因此，如果其中一个受到感染，则很可能它们都将受到感染。因此，对于相同的效果，多个密钥对只是更多工作。

我唯一会使用不同密钥的时间是针对不同的帐户或不同的角色，根据定义，这些访问权限不应完全重叠。

如果我理解正确，那么每个服务器都将拥有自己的公钥。

对于给定的用户，您可以生成一个密钥并在任何地方使用它，只要将私钥复制到所有启动主机上即可。（这将通过网络安装的主目录和基于目录的身份验证系统（例如OpenLDAP）自动发生，因为无论用户从哪个工作站登录，用户都将始终“相同”。）

在基于目录的用户系统之外，我认为在任何地方都使用相同的密钥是一个坏主意–最终会导致系统安全性的净降低，因为任何可以从任何工作站获取密钥的人都可以通过以下方式进行身份验证：该用户到远程服务器。

由几家大公司（而且我敢肯定也是小公司）采用的另一种选择是永远不要允许“用户”使用预共享密钥，而是先登录到“跳转”或“集线器”框，su适当的连接用户，然后从那里SSH到他们需要管理的服务器。

另外，如果使用HP服务器自动化平台之类的管理系统，则对受管服务器的远程管理将变得更加简化。

正如其他人所说，尽管多个密钥对的想法似乎更安全，但是如果有机会以一种将它们都放在同一个地方的方式使用它们，那么这将更加麻烦而不是更加安全。多个密码短语将使其更安全，但是要想记住哪个密码短语与哪个密钥一起使用以及哪个密钥与哪个服务器一起使用也很麻烦。

对我来说，最合理的答案是建议仅在涉及单独的管理角色且没有太多重叠的情况下才这样做。这样一来，可能是由不同的人来处理不同的角色，或者在不同的工作站上等等。在这种情况下，无论如何，对于每个不同的角色，您都有更多独特的事情要处理，因此更加合理。

为了便于管理多个支持SSH的服务器，您可能需要签出cssh。您可以将cssh与密码短语SSH密钥结合使用，以极大地增强同时管理多个服务器的能力。