Tob*_*oby 75 security ssh administration key-authentication
我应该访问服务器,以便将公司的临时服务器和实时服务器链接到我们的部署循环中。他们这边的管理员设置了两个实例,然后在服务器上创建了一个用户,供我们通过 SSH 登录。我已经习惯了这么多。
在我看来,现在会发生的是我将我的公钥发送给他们,该公钥可以放在他们的授权密钥文件夹中。然而,他们通过电子邮件向我发送了一个文件名id_rsa,该文件名包含-----BEGIN RSA PRIVATE KEY-----在文件中。这是正常的吗?
我环顾四周,可以找到大量关于从头开始生成和设置我自己的密钥的资源,但没有从服务器的私钥开始。我应该使用它为自己生成一些密钥还是?
我会直接问系统管理员,但不想显得白痴,浪费我们中间的每个人的时间。我是否应该忽略他发给我的密钥并要求他们将我的公钥放在他们的授权文件夹中?
Wil*_*ard 115
在我看来,现在会发生的是我将我的公钥发送给他们,该公钥可以放在他们的授权密钥文件夹中。
现在应该发生的事情“在你的脑海中”是正确的。
电子邮件不是安全的通信渠道,因此从适当安全的角度来看,您(和他们)应该考虑私钥已泄露。
根据您的技术技能和您想成为的外交家,您可以做几种不同的事情。我会推荐以下之一:
生成您自己的密钥对并将公钥附加到您发送给他们的电子邮件中,内容如下:
谢谢!由于电子邮件不是私钥的安全分发方法,您能否将我的公钥放在适当的位置?它附上了。
感谢他们并询问他们是否反对您安装自己的密钥对,因为他们发送的私钥在通过电子邮件发送后应被视为已泄露。
生成您自己的密钥对,使用他们第一次发送给您的密钥登录,并使用该访问权限编辑authorized_keys文件以包含新的公钥(并删除与泄露私钥对应的公钥。)
一句话:你不会看起来像个白痴。 但是,很容易让另一个管理员看起来像个白痴。良好的外交可以避免这种情况。
编辑回应来自 MontyHarder 的评论:
我建议的行动方案都没有涉及“在不告诉其他管理员他做错了什么的情况下修复问题”;我只是巧妙地做到了,没有把他扔到公共汽车下面。
不过,我会补充一点,我会也跟进(礼貌),如果细微的线索不拾起:
您好,我看到您没有回复我关于电子邮件是不安全渠道的评论。我确实想确信这种情况不会再次发生:
你明白我为什么要强调私钥的安全处理吗?
最好的事物,
托比
Dmi*_*yev 33
我是否应该忽略他发给我的密钥并要求他们将我的公钥放在他们的授权文件夹中?
是的,这正是你应该做的。私钥的全部意义在于它们是私有的,这意味着只有您拥有您的私钥。由于您从管理员那里收到了该密钥,因此他也拥有它。所以他可以随时冒充你。
密钥是否通过安全通道发送给您无关紧要:即使您亲自收到了您的私钥,也不会改变任何事情。虽然我同意通过电子邮件发送敏感的加密密钥是蛋糕上的樱桃的评论:您的管理员甚至不会假装有某种安全策略到位。
小智 14
在我看来,管理员似乎为您生成了一个私钥/公钥对,将公钥添加到了 authorized_keys 并将私钥发送给您。这样,您只需将此私钥用于与服务器的 ssh 会话。无需自己生成密钥对或向管理员发送公钥到您可能损坏的(总是认为最坏的情况:P)私钥。
但是,我不会相信通过未加密邮件发送给您的私钥。
我的方法是:使用私钥登录一次,将您自己的公钥添加到服务器上的authorized_keys(替换原始公钥)并丢弃此电子邮件私钥。然后,您可以感谢管理员,他/她/它为您提供了私钥,但您不希望此类信息/密钥不要通过电子邮件发送(/根本不发送)。
| 归档时间: |
|
| 查看次数: |
12595 次 |
| 最近记录: |