我刚刚在 Digital Ocean 上创建了一个 droplet,文档中写道:
如果您还没有 SSH 密钥对(由公钥和私钥组成),则需要生成一个。如果您已经有要使用的密钥,请跳至复制公钥步骤。
我已经拥有一个 Linode VPS,并为其创建了 SSH 密钥。我是否应该重复使用密钥或为我使用的每台服务器创建新密钥?
答案1
复制单个民众多个服务器的密钥。
抄袭私人的密钥可以存放在任何地方。在您的工作站/笔记本电脑上生成密钥并让它留在那里。
请记住,单个私钥可让 ssh 访问多个服务器,因此您需要妥善保护它 - 至少使用强密码。使用 pageant/ssh-agent 可让密码更加方便。
看看典型的“笔记本电脑有后门”攻击向量那么,每个服务器专用的私钥是否能提供额外的安全性?只有当你为每台服务器配备一台专用笔记本电脑时才行 :)
答案2
ssh 密钥的安全性与密码相同(从多因素角度来看),除非您使用硬件 ssh 密钥(例如 gpgagent 和 yubikeys)
您的数字海洋和 linode 账户使用相同的密码吗?
如果你非常注重安全,你也可以对你的密钥进行签名(例如Facebook) 与内部证书颁发机构一起作为防止密钥丢失的第二层保护。
此外,钥匙可能会丢失,密码也可能会忘记。
为了获得良好的安全性,您可以为每个主机配备一个密钥对,并使用身份标志、putty 配置或 ansible 主机配置指定您的密钥。
作为测试,我将 10 个密钥加载到 Pageant 中,使用任何随机密钥进行身份验证似乎都没有问题。
答案3
你能在多个系统上重复使用密钥对,但这被认为是不好的做法,因为这意味着如果攻击者获得了对您唯一私钥的控制权,他现在就可以访问受此密钥对保护的所有服务器。
配置使用多个键非常容易ssh,因此我建议这样做。