Haruskah saya mencadangkan kunci host SSH saya?

8

Dalam cadangan otomatis saya, saya tidak yakin apakah saya harus melakukan ini. Jika hard drive gagal atau jika saya menghapus hard disk dan memulai kembali, apa efek dari memulai dengan kunci host SSH baru untuk klien saya? Apakah saya harus melakukan sesuatu yang istimewa selain menghapus nama host dari known_hostsfile masing-masing klien ? Apa hal terbaik untuk dilakukan dalam kasus ini? Saya berencana untuk menghapus komputer saya dan mulai dari awal dalam beberapa hari ke depan.

ssh security backup openssh Naftuli Kay
sumber

Jawaban:

10

Jika Anda menginstal ulang OS di komputer Anda, tetapi Anda menganggap itu masih komputer yang "sama", maka Anda harus membuat cadangan kunci pribadi SSH dan mengembalikannya setelah instalasi. Jika Anda menggunakan kembali perangkat keras yang sama untuk membuat sistem yang berbeda, maka Anda harus membuat kunci baru untuk sistem baru. Memutuskan apakah komputer yang sama masih merupakan keputusan semantik, jadi terserah Anda; memulihkan atau membuat ulang kunci SSH adalah implementasi dari keputusan ini.

Jika Anda satu-satunya orang yang mengakses komputer itu, tidak masalah. Jika Anda memiliki pengguna lain, mengubah kunci SSH akan menyebabkan masalah:

  • Beberapa pengguna yang sadar akan keamanan dan berpengetahuan akan khawatir bahwa sesuatu yang buruk sedang terjadi dan mencoba menghubungi Anda di luar band untuk memperingatkan Anda bahwa mereka mungkin sedang diserang.
  • Beberapa pengguna yang berpengetahuan luas tetapi tidak paranoid akan menghapus kunci SSH lama untuk menyingkirkan pesan kesalahan, dan menggerutu tentang sysadmin yang mengubah kunci.
  • Mayoritas pengguna yang mengabaikan pesan hanya akan melihat bahwa mereka tidak dapat terhubung dan dapat menghubungi Anda untuk meminta bantuan.
Gilles 'SANGAT berhenti menjadi jahat'
sumber
Bagaimana saya bisa mencadangkan kunci privat ssh? Saya berencana untuk melakukan instalasi os baru
ltdev
@ Lykos Ini hanya sebuah file (satu file per algoritma, sebenarnya, dan membuat cadangan file kunci publik untuk kenyamanan juga bahkan jika itu dapat dibangun kembali dari file kunci pribadi). Biasanya terletak di /etc/ssh_host_*_key*atau/etc/ssh/ssh_host_*_key*
Gilles 'SO-stop being evil'
Tidak yakin apakah saya mengerti benar, tapi aku bisa melakukan cat ~/.ssh/id_rsa.pubdan cat ~/.ssh/id_rsa.pubdan menyalin konten dalam file txt sebagai back up?
ltdev
@Lykos Ini adalah kunci publik pengguna, yang tidak ada hubungannya dengan pertanyaan khusus ini. Saya tidak tahu apa yang ingin Anda lakukan, tetapi biasanya yang paling penting adalah membuat cadangan kunci pribadi. Jangan bingung antara kunci host dan kunci pengguna (saya yakin kami memiliki satu atau tiga pertanyaan tentang topik ini).
Gilles 'SO- stop being evil'
2

Kecuali dunia orang terhubung ke sistem Anda selain Anda dan Anda ingin perubahan dalam layanan mereka menjadi tidak terganggu mungkin, mungkin Anda juga membuat kunci host baru. Jika Anda menghapus sistem dan mulai dari awal, itu sebenarnya bukan sistem yang sama seperti sebelumnya dan klien ssh Anda akan benar ingin memberi tahu Anda bahwa sistem telah berubah. Jika Anda tidak memiliki penguncian gila yang mempengaruhi seandainya Anda tidak dapat terhubung ke host baru, ini seharusnya menjadi hal yang mudah untuk memperbarui file host yang dikenal.

Caleb
sumber