Mengapa Google merekomendasikan menghapus kunci SSH dari GCE untuk keamanan?

15

Referensi di bawah ini untuk dokumentasi Google tidak lagi benar.

Google merekomendasikan untuk menghapus kunci SSH dari instance GCE untuk mengamankan SSH. Itu tidak masuk akal bagi saya. Kunci ada untuk keamanan, bukan? Ketika saya menghapus kunci, SSHD berhenti bekerja. Saya mungkin melewatkan poin mereka. Dapatkah seseorang menjelaskan apa yang dimaksud dengan ini:

Hapus kunci host ssh

Jangan gunakan kunci host ssh dengan instance Anda. Hapus mereka sebagai berikut:

rm /etc/ssh/ssh_host_key
rm /etc/ssh/ssh_host_rsa_key*
rm /etc/ssh/ssh_host_dsa_key*
rm /etc/ssh/ssh_host_ecdsa_key*
Martin Prikryl
sumber
2
Dokumen merekomendasikan untuk diaktifkan StrictHostKeyCheckingdan kemudian merekomendasikan untuk menonaktifkannya. Saya menduga itu bukan dokumen yang diedit dengan sangat hati-hati. Saran saya adalah percaya pada penilaian Anda sendiri, dan gunakan kunci host kecuali ada alasan bagus untuk tidak melakukannya.
aecolley
@ aecolley saya sudah memperhatikan itu juga. Saya telah mengirimkan umpan balik kepada mereka. Akan melihat apakah mereka kembali padaku.
Martin Prikryl
1
Saya telah menguraikan di bawah ini, tetapi itu mengarah pada konteks - halaman yang Anda lihat memberikan saran untuk membuat gambar baru, bukan untuk mengamankan mesin secara umum. Saya akan mendapatkan dokumen diperbarui untuk memasukkan lebih detail tentang kapan dan mengapa Anda ingin menghapus kunci host Anda, karena alasannya tidak jelas.
Benson

Jawaban:

12

Detail kritisnya adalah bahwa halaman yang Anda referensikan adalah tentang membuat gambar mesin Compute Engine baru. Khususnya, ketika Anda membuat gambar mesin virtual baru, Anda ingin memastikan itu TIDAK termasuk kunci host. Dengan begitu, ketika gambar dikloning dan disusun kembali menjadi VM yang sebenarnya, skrip startup sshd akan mengenali bahwa tidak ada kunci host, dan secara otomatis menghasilkan yang baru. Ini diinginkan karena memiliki beberapa mesin menggunakan kunci host yang sama adalah ide yang sangat buruk.

Jadi, dalam kasus umum, tolong jangan menghapus kunci host Anda, tetapi jika Anda membuat gambar baru, ini merupakan langkah penting untuk memastikan ada hubungan satu-ke-satu antara kunci host dan mesin.

Benson
sumber
1
Terima kasih. Ini masuk akal. Meskipun beberapa penjelasan akan membantu. "Jangan gunakan kunci host ssh dengan instance Anda." benar-benar ungkapan yang membingungkan.
Martin Prikryl
Saya setuju sepenuhnya - terima kasih banyak untuk menunjukkan itu. Saya sebenarnya telah mengirimkan pembaruan ke dokumen untuk mengklarifikasi kata-kata yang saya duga akan segera dikeluarkan.
Benson
1
Documents yang diperbarui sekarang telah aktif: developers.google.com/compute/docs/images#removesshkeys
Benson
13

Satu-satunya alasan yang mungkin saya pikirkan adalah karena mereka ingin memaksa Anda untuk membuat kembali kunci baru.
Karena kunci ini dibuat sebelum Anda memiliki akses, mereka mungkin tidak dapat dipercaya.
Menghapusnya dan memulai kembali sshdakan membuat kembali kunci untuk Anda.
Namun dokumen itu tidak terlalu memperjelas.

Ini spekulasi murni dan akan lebih baik untuk menghubungi mereka dan mendapatkan klarifikasi mengenai hal ini.

pemalsu
sumber
4
Terimakasih atas tanggapan Anda. Saya perlu ssh ke server untuk memulai kembali sshd. Tetapi untuk menghubungkan saya harus menerima kunci host server yang "tidak dipercaya". Jadi, apa pun yang saya lakukan selama sesi ini tidak dapat dipercaya. Bahkan memulai kembali sshd. Baik?
Martin Prikryl
1
Saya kira kekhawatiran utamanya adalah bahwa karena alasan tertentu pelanggan lain mendapatkan kunci yang sama dengan Anda (catatan: ini tidak memungkinkan mereka untuk mengakses instance Anda tetapi membuatnya lebih mudah untuk melakukan man-in-the-middle attack Anda). Jika Anda tidak mempercayai penyedia gambar, maka Anda tidak boleh menjalankan apa pun di sana (mereka praktis memiliki akses fisik).
faker
1
IIRC telah ada beberapa penelitian yang menunjukkan bahwa kualitas entropi dalam beberapa sistem, terutama yang tertanam tetapi yang mungkin juga termasuk beberapa kategori mesin virtual baru mulai, tidak terlalu tinggi. Ketika kunci publik dihasilkan saat boot pertama kali, seperti kunci kunci host SSH, kunci itu mungkin dapat diprediksi.
HBruijn
@HBruijn Terima kasih atas komentarnya. Tetapi menghapus mereka dan membiarkan sshd membuatnya kembali saat restart tidak membuat mereka lebih baik. Anda harus mengunggah sendiri. Tapi itu tidak tercakup dalam dokumen.
Martin Prikryl
1
Saya telah mengirimkan umpan balik ke Google. Akan melihat apakah mereka kembali padaku.
Martin Prikryl