我今天和一个合作伙伴一起工作,我需要使用scp. 我在服务器的 SSH 配置中关闭了密码,所以我希望他们使用公钥身份验证。我在服务器上为他们生成了密钥对,并给了他们私钥并将公钥放在适当的authorized_keys文件中。
在他们设置工作遇到了一系列问题之后,他们终于让一个更有经验的系统管理员参与进来,他责骂我以这种方式处理密钥生成。他说,通过给他们一个在我的系统上生成的私钥,我使他们能够对同一台服务器上生成的其他密钥进行暴力攻击。
我什至问他“所以如果我在服务器上有一个帐户,我可以用密码登录,但我想自动化一些东西,我在那个系统上生成一个密钥对,那么这是否会给我一个攻击向量来强制其他人用户的钥匙?” 他说是的。
我从来没有听说过这个,是真的吗?任何人都可以指出我对这次攻击的讨论吗?