2 ssh
为普通用户创建密钥对时,可以选择使用 3DES 对称加密私钥。我通常认为这是一个好主意,那么即使密钥被盗,对攻击者来说也是无用的。
我注意到在每台运行 sshd 的机器(至少是基于 Ubuntu 的)上,安装 sshd 服务器软件时生成的私钥文件 /etc/ssh/ssh_host_rsa_key 没有使用 3DES 加密。是否可以强制 sshd 使用加密密钥而不加密整个磁盘?
我认为它类似于 Apache-over-ssl 使用密钥的方式。如果是加密的,每次运行apache时,必须输入密码才能解密私钥。sshd 有类似的功能吗?
它不会有帮助。有人可以从文件中窃取密钥的唯一方法是他们是否root可以访问。如果他们获得root访问权限,他们可以替换sshd为记录解密密码的密码,或者他们可以从正在运行的 sshd 进程的内存中读取密钥。
因此,无论哪种方式,获得root访问权限的人都可以轻松获得私钥。您需要一个物理硬件设备来保存密钥,或者需要一台不同的安全机器来保存它。你不能这样做并且仍然在同一台机器上处理软件中的密钥。
| 归档时间: |
|
| 查看次数: |
272 次 |
| 最近记录: |