我正在阅读有关SSH密钥身份验证的信息,并在家里的3台计算机上进行设置。
我有一台主计算机,称其为“ A”,另外两台计算机,称其为“ B”和“ C”。
现在基于我已阅读的文档,我将在B和C上运行ssh-keygen并将公钥放置在计算机A上,假设如果我在B或C上我将始终通过SSH进入计算机A。
但是,我认为我阅读的文档示例假定仅使用一台家用计算机,并且可以说其他一些外部计算机。在我的情况下,仅在一台计算机上运行ssh-keygen并将文件复制到另一台计算机上有意义吗?这样,我只需要备份一组密钥?而且,当我登录一台外部计算机时,只需要使用一组密钥进行设置即可,而不必使用所有三台计算机进行设置。
这有意义吗?有任何缺陷或注意事项要考虑吗?
谢谢。
Answers:
从理论上讲,您可以同时使用两种方法,但是它们各有优缺点:
实际上,您只能创建一个密钥,说它是“您的”(作为一个人),将其固定在某个地方,然后将其复制到您使用的任何计算机上。好处是,只要您拥有SSH私钥,就可以从任何地方连接到A。缺点是,只要您以某种方式将私钥从一个地方复制到另一个地方,就增加了窃听连接的人读取它的风险。更糟糕的是,如果计算机C被盗,则必须在使用该密钥的所有计算机上重新生成一个新密钥,然后分发一个新密钥。
另一方面,每台用户@计算机使用一个键的优势在于,与“什么”可以连接“何处”相比,它具有更多的“精细控制”。这是最常见的方法。
例如,如果您要将计算机C交给您的兄弟/姐妹/妻子/丈夫/朋友/狗或小偷(未经您的许可),则只需从A的“ authorized_keys”中删除密钥文件。
因此,即使这意味着“ authorized_keys中有更多密钥”,我还是建议第二种方法。
绝对可以在三台计算机上使用相同的键-我一直在这样做,主要是为了方便起见。
Kwaio正确指出,这会增加密钥被损坏的风险。一种可能的解决方案是将私钥和公钥组件分开。所以:
如果您的一台计算机被盗或以其他方式破坏了您的公钥-那么这仅仅是一个公钥,那又如何。
如果您的私钥被盗或丢失,您将立即着手生成一个新的密钥对并更新所有计算机上的公钥。
HTH。