我有一台台式机和一台笔记本电脑,用于开发。我在主机(台式机)上生成了一个指向我的 vps 的 ssh 密钥,该密钥使用密码短语。就最佳实践或安全问题而言,是在我的笔记本电脑上生成指向同一 vps 的新 ssh 密钥更好,还是我应该将 ssh 密钥从台式机复制到笔记本电脑。
我读过的关于这个主题的所有内容都只是解释了如何将 ssh 密钥从一台计算机复制到另一台计算机。我还没有看到任何内容解释生成新密钥与复制现有密钥的优缺点。(这两台机器都由我独自使用)。
答案1
我同意https://unix.stackexchange.com/questions/208495/ssh-key-authentication-with-multiple-computers。你可以做任何一件事,但是每一件事都有其优点和缺点。
我更愿意为每台受信任的机器创建一个新的 SSH 私钥。这样,如果一个密钥被破解,只需要替换该机器的密钥。复制私钥也可能增加其他人访问它的机会。它基本上会成为一个单点故障。BitBucket 等网站之所以推荐他们的用户每年都要更换他们的 SSH 密钥。
答案2
只要使用高质量密码保护您的私钥,就可以安全地将其从一台机器复制到另一台机器。
答案3
将密钥复制到其他地方会增加第三方获得访问权限的风险。如果您重复使用密钥并且密钥被盗用,您将无法知道哪个工作站已被盗用。我强烈建议为每个工作站配备一组密钥,这样可以轻松撤销密钥而不会失去其他地方的访问权限。
由于您使用密钥而不是密码登录服务器,我强烈建议您在 SSH 服务器上禁用密码验证。这将有助于防止对您的 SSH 服务进行暴力攻击。确保您已经使用密钥成功登录,否则您将被锁定。
$ sudo nano /etc/ssh/sshd_config
然后在配置文件中找到行#PasswordAuthentication yes
并将其更改为 PasswordAuthentication no
测试您的配置文件以确保没有错误(没有输出表示没有错误)
$ sudo sshd -t
然后重新启动 SSH 守护进程(假设是 systemd)
$ sudo service ssh restart