Saya baru-baru ini membeli laptop dari mana saya perlu mengakses host jarak jauh yang sama yang saya lakukan dari desktop saya. Terpikir oleh saya bahwa mungkin saja menyalin file kunci privat dari desktop saya ke laptop saya dan menghindari keharusan menambahkan kunci baru ke ~/.ssh/authorized_keys
file di semua host yang ingin saya akses. Jadi pertanyaan saya adalah:
- Apakah ini mungkin?
- Apakah ada implikasi keamanan yang tidak jelas?
- Terkadang saya akan masuk ke desktop saya dari laptop saya. Jika ada yang menggunakan kunci yang sama, apakah itu akan menyebabkan masalah?
Jawaban:
Ya, ini mungkin. Kunci pribadi Anda tidak terikat pada satu mesin.
Tidak yakin apa yang Anda maksud dengan tidak jelas, itu seringkali subjektif;). Sama sekali bukan ide yang buruk jika Anda memastikan Anda memiliki kumpulan kata sandi yang sangat kuat, setidaknya 20 karakter.
Tidak ada masalah tentang menghubungkan dengan kunci yang sama dengan desktop Anda. Saya akan mengatur agen ssh untuk kunci Anda di laptop, dan meneruskan agen ke desktop, jadi Anda akan menggunakan kunci itu pada sistem lain yang Anda akses dari sana.
Dari halaman manual ssh-agent pada sistem Linux:
Anda akan menjalankan ini di laptop Anda, baik program ssh-agent di Linux / Unix (ia datang dengan OpenSSH), atau dengan agen puTTY jika Anda menggunakan Windows. Anda tidak perlu agen berjalan di sistem jarak jauh, itu murni menyimpan kunci pribadi Anda di memori pada sistem lokal sehingga Anda hanya perlu memasukkan kata sandi Anda satu kali, untuk memuat kunci di agen.
Penerusan agen adalah fitur klien ssh (
ssh
atau dempul) yang hanya bertahan agen melalui sistem lain melalui koneksi ssh.sumber
Saya dulu menggunakan kunci pribadi tunggal di semua mesin saya (dan beberapa dari mereka saya hanya pengguna, bukan admin), tetapi baru-baru ini mengubah ini. Ini berfungsi memiliki satu kunci, tetapi berarti jika Anda perlu mencabut kunci (jika dikompromikan), maka Anda perlu mengubahnya di semua mesin.
Tentu saja, jika seorang penyerang mendapatkan akses dan dapat ssh ke komputer lain, mereka kemudian bisa mendapatkan kunci dari mesin itu, dan seterusnya. Tetapi itu membuat saya merasa sedikit lebih aman untuk mengetahui bahwa saya dapat mencabut hanya satu kunci, dan mengunci mesin itu. Itu berarti saya harus menghapus kunci dari file Authorized_keys, meskipun.
sumber