Bagaimana saya harus mengelola kunci ssh pribadi yang aman?

14

Saya perlu memiliki kunci ssh pribadi sehingga:

  • Saya dapat mencadangkan satu file yang berisi kunci pribadi saya, dan mengembalikannya ketika saya menginstal baru.
  • Kunci pribadi tidak pernah disimpan dalam bentuk tidak terenkripsi di mana pun, termasuk dalam file yang saya buat cadangan dan pulihkan, tetapi dengan pengecualian yang diperlukan dari RAM saya saat saya menggunakannya.
  • Seseorang dengan akses fisik ke mesin saya tidak dapat selalu menggunakan kunci pribadi saya. Saya harus diminta untuk memasukkan kata sandi sebelum berfungsi, lebih disukai kata sandi ke akun pengguna saya.
  • Tidak perlu membuat cadangan kunci publik. Saya harus dapat menghasilkan itu dari kunci pribadi (tetapi mungkin perlu informasi yang cukup untuk mendekripsi).

Saya tahu bahwa ada banyak sumber daya yang menjelaskan cara menggunakan alat manajemen kunci ssh. Namun, saya menemukan mereka cukup kompleks, dan saya telah terbukti tidak dapat menyimpan kunci pribadi saya ketika melakukan instalasi baru di masa lalu. Jadi saya lebih suka mendengar beberapa praktik terbaik dari seseorang dengan pengalaman melakukan persis apa yang ingin saya lakukan.

keyrings ssh Vincent Povirk
sumber

Jawaban:

9

Menelusuri poin Anda:

  • Saat Anda membuat kunci SSH, kunci itu disimpan ~/.ssh/sebagai id_rsa(atau id_dsa). Anda dapat memindahkan ini dari mesin ke mesin seperti yang Anda inginkan.

  • Anda dapat memastikan enkripsi dengan mengenkripsi /home/ . Ada beberapa set instruksi tentang cara melakukan ini di internet tetapi (karena tidak pernah melakukan ini sendiri), saya tidak dapat dengan jujur ​​menyarankan satu sama lain. Yang ada di UbuntuForums sepertinya sama bagusnya dengan yang lain. Melakukan ini pada instalasi baru lebih mudah (Anda dapat melakukannya di installer) tetapi tidak diperlukan.

  • Saat Anda membuat kunci pas, pastikan Anda menetapkan frasa sandi. Ini berarti bahwa bahkan jika seseorang mendapatkan kunci pribadi Anda, mereka masih memerlukan token itu untuk menggunakannya.

  • ssh-keygen -eakan menghasilkan hash kunci publik Anda dari kunci pribadi Anda. Jangan ya, Anda tidak perlu mencadangkannya (meskipun tidak sulit untuk melakukannya - disimpan sebagai ~/.ssh/id_rsa.pub).

Oli
sumber
Tidak mengatur jumlah frasa sandi sebagai mengenkripsi kunci?
Vincent Povirk
@Vincent Sort of, tentu saja. Saya tidak yakin bagaimana paranoid Anda mencoba berada di sini. Jika Anda ingin meminimalkan kemungkinan orang lain mendapatkan kunci, taruh di dalam partisi terenkripsi. Jika Anda senang dengan orang-orang yang bisa mendapatkannya (jika mereka mendapatkan akses fisik), tetapi tidak dapat menggunakannya tanpa frasa sandi, Anda dapat melewati langkah itu.
Oli