Metode untuk mencabut kunci SSH Pasangkan secara lokal

10

Saya telah menggunakan kunci ssh saya untuk sementara waktu. Saya berpikir untuk meningkatkan pasangan kunci ssh saya ke enkripsi yang lebih kuat dan saya tidak tahu semua perangkat di mana kunci saya terdaftar.

Apakah mungkin untuk "mencabut" Kunci SSH secara lokal, sehingga saya menerima peringatan jika saya mengautentikasi dengan Kunci SSH yang sudah usang?

tim0_o
sumber
Saat Anda melakukannya, saya sarankan Anda berhenti menggunakan kunci SSH yang sama untuk beberapa host; itu tidak perlu meningkatkan permukaan serangan serta nilai kunci itu jika terjadi pelanggaran. Alih-alih, gunakan satu kunci untuk setiap host yang terhubung dengan Anda; idealnya, gunakan satu kunci untuk setiap pasangan klien dan server (tapi ini menskala dengan buruk jika Anda memiliki banyak sistem klien yang terhubung ke banyak server). Saya juga suka menandai kunci dengan tanggal pembuatan di komentar atau nama kunci, memungkinkan saya untuk melacak berapa usia mereka. Kemudian siapkan pengingat berulang setiap 6-24 bulan atau lebih di kalender Anda untuk memperbarui.
CVn
@ MichaelKjörling Saya tidak setuju dengan bagian pertama dari saran Anda. Menghasilkan banyak pasangan kunci di mana semua kunci pribadi disimpan pada mesin yang sama dengan izin yang sama tidak memberikan peningkatan keamanan yang berarti. Jika seseorang dikompromikan maka kemungkinan besar sisanya juga dikompromikan. Dan dalam hal memiliki banyak pasangan kunci hanya berarti akan ada lebih banyak pekerjaan yang harus dilakukan dengan memutar mereka begitu Anda melihat alasan untuk membuat pasangan kunci baru. Bagian tentang menambahkan tanggal pembuatan komentar adalah saran yang bagus (saya berharap ssh-keygenakan melakukannya secara default).
kasperd
@kasperd Anda membuat poin yang bagus. Saya kira seperti biasa, itu sangat tergantung pada model ancaman Anda. Saya menduga secara implisit saya berasumsi bahwa kunci akan memiliki frasa sandi yang berbeda, yang dapat saya lihat bagaimana dengan sejumlah besar kunci mungkin tidak selalu praktis, kecuali jika Anda ingin menambahkan pengelola kata sandi ke dalam campuran. Itu tidak namun memungkinkan sesuatu yang sangat dekat dengan apa yang OP menggambarkan, karena kunci dapat "usang" yang sangat mudah tanpa mempengaruhi koneksi lain. Saya curiga pada akhirnya, ini sedikit masalah selera pribadi.
CVn

Jawaban:

9

Saya tidak tahu cara untuk melakukan sesuatu seperti ini, tetapi saya bisa melihat bagaimana itu akan berguna. Apa yang saya cenderung lakukan adalah berhenti menambahkan kunci yang sudah usang ke agen SSH saya. Dengan begitu, setiap kali digunakan, saya harus memasukkan kembali frasa sandi. Jika itu sesuatu seperti, "ugh, yang lain untuk diperbaiki", maka itu akan mengingatkan saya setiap kali saya harus memutar kunci saya pada mesin itu juga.

womble
sumber
dalam hal ini mungkin berguna (tergantung pada distro / DE) untuk memindahkan file ke direktori lain, kuda laut misalnya menggunakan semua kunci ~/. sshsecara otomatis.
guntbert
1
Apa pun yang melakukan itu perlu dibakar. Ini berarti bahwa saat Anda memiliki lebih dari enam kunci (saya punya beberapa lusin) Anda akan berakhir gagal auth karena terlalu banyak kegagalan (setiap kunci yang disajikan dan ditolak diperhitungkan dalam penghitungan gagal).
womble
5

Anda dapat memindahkan kunci ssh lama ke lokasi non-default (yaitu, ~ / .ssh / deprecated_id_rsa) dan kemudian membuat kunci ssh baru dengan properti yang Anda inginkan di ~ / .ssh / id_rsa

Dengan begitu Anda masih memiliki kunci yang sudah usang tersedia jika diperlukan ssh -i ~/.ssh/deprecated_id_rsa ..., tetapi Anda akan menggunakan kunci baru secara default.

kaki
sumber