我想知道,这是否被认为是安全的对多个站点使用相同的 SSH 密钥?(例如 github、bitbucket、heroku 等)?
或者建议为每个网站/用途生成不同的 SSH 密钥?
答案1
您只是将公钥提供给这些网站。除了识别出这是同一个密钥之外,他们无法用此密钥做任何事情。如果您担心自己的匿名性,请使用单独的密钥(并将您的 ssh 客户端配置为只向每台服务器提供一个密钥,而不是向所有服务器提供一个密钥)。
只要您正确使用私钥并且不让它离开您的计算机,就不会有泄露私钥的风险。当然,如果它以某种方式被泄露,它会危及您电脑上的所有帐户。
但最有可能泄露密钥的情况是您的计算机上有木马或类似病毒,在这种情况下,您的所有其他密钥也将被泄露。因此,在这里只使用一个公钥(每个客户端计算机)就足够了。
答案2
我们ssh在多个站点上使用相同的密钥,但这只是因为我们控制所有站点(如大量公司控制的站点)。
我们不会对于由第三方控制的网站也应这样做,因为这涉及安全问题。