सवाल क्या एकाधिक कंप्यूटर / सेवाओं के बीच निजी कुंजी फ़ाइल साझा करना ठीक है?


तो हम सभी जानते हैं कि एसएसएच, आदि का उपयोग करके सार्वजनिक कुंजी / निजी कुंजी का उपयोग कैसे करें, लेकिन उनका उपयोग / पुन: उपयोग करने का सबसे अच्छा तरीका क्या है? क्या मुझे उन्हें हमेशा के लिए एक सुरक्षित जगह में रखना चाहिए? मेरा मतलब है, मुझे गिटहब तक पहुंचने के लिए चाबियों की एक जोड़ी चाहिए। मैंने स्क्रैच से एक जोड़ी बनाई और कुछ समय के लिए गिटहब तक पहुंचने के लिए इस्तेमाल किया। तब मैंने अपना एचडीडी स्वरूपित किया और उस जोड़ी को खो दिया। बड़ा सौदा, मैंने अपनी नई जोड़ी का उपयोग करने के लिए एक नई जोड़ी बनाई और गिटहब को कॉन्फ़िगर किया। या यह ऐसा कुछ है जिसे मैं खोना नहीं चाहता हूं?

हमारी कंपनी सिस्टम तक पहुंचने के लिए मुझे सार्वजनिक कुंजी / निजी कुंजी की एक जोड़ी की भी आवश्यकता थी। हमारे व्यवस्थापक ने मुझे अपनी सार्वजनिक कुंजी के लिए कहा और मैंने एक नई जोड़ी उत्पन्न की और उसे दिया। क्या यह आमतौर पर अलग-अलग प्रणालियों तक पहुंच के लिए एक नई जोड़ी बनाने के लिए बेहतर है या क्या यह एक जोड़ी है और इसे विभिन्न प्रणालियों तक पहुंचने के लिए पुन: उपयोग करना बेहतर है? इसी प्रकार, क्या दो अलग-अलग जोड़ों को बनाने और घर से हमारी कंपनियों के सिस्टम तक पहुंचने के लिए और दूसरे को सिस्टम से काम करने के लिए बेहतर इस्तेमाल करना बेहतर है, या क्या यह सिर्फ एक जोड़ी है और दोनों जगहों से इसका उपयोग करना बेहतर है?


106
2017-09-16 13:15


मूल


यह सीधे आपके प्रश्न का उत्तर नहीं है, लेकिन सलाह दी जाती है कि प्रत्येक कुंजी के लिए पासफ्रेज भी हो। आदर्श रूप से, प्रत्येक कुंजी के लिए अलग पासफ्रेज (पासवर्ड प्रबंधक का उपयोग करें)। कारण निम्नानुसार है: यदि किसी निजी कुंजी से समझौता किया गया है (लैपटॉप चोरी हो गया है, कंप्यूटर को हैक किया गया है), तो आपके पास कुछ समय पहले कुंजी को ब्रूट-मजबूर किया जा सकता है और आप उन सभी मशीनों पर सार्वजनिक कुंजी को प्रतिस्थापित कर सकते हैं , आपके हमलावर से पहले कर सकते हैं। स्रोत: help.ubuntu.com/community/SSH/OpenSSH/... - Xandor Schiefer


जवाब:


आप निश्चित रूप से अलग निजी कुंजी होना चाहिए प्रति उत्पत्ति। असल में इसका मतलब है कि आम तौर पर प्रत्येक निजी कुंजी की एक प्रति होना चाहिए (बैकअप गिनती नहीं)। बारीकी से संबंधित मशीन से उसी निजी कुंजी का उपयोग करना ठीक है, ऐसी स्थिति में जहां एक में तोड़ने से आपको मूल रूप से दूसरे तक पहुंच मिलती है (उदाहरण के लिए यदि वे एक दूसरे के हैं shosts.equiv)। विभिन्न क्षेत्रों (जैसे घर और काम) में मशीनों पर एक ही निजी कुंजी का उपयोग न करें, दो उपयोगकर्ताओं के बीच एक निजी कुंजी साझा न करें, और किसी लैपटॉप और किसी अन्य मशीन के बीच निजी कुंजी साझा न करें।

अधिकांश भाग के लिए, मुझे विभिन्न गंतव्यों के लिए अलग-अलग निजी कुंजी रखने में बिंदु दिखाई नहीं देता है। यदि किसी निजी कुंजी से समझौता किया गया है, तो उसी निर्देशिका में संग्रहीत अन्य सभी निजी कुंजियों को निश्चित रूप से भी समझौता किया जाएगा, इसलिए सुरक्षा लाभ के लिए जटिलता भी शामिल की जाएगी।

यदि आप इन सिद्धांतों का पालन करते हैं, तो प्रत्येक कुंजी जोड़ी एक (मशीन, उपयोगकर्ता) जोड़ी की पहचान करती है, जो प्राधिकरण प्रबंधन को आसान बनाता है।

मैं प्रति मूल एक निजी कुंजी के सामान्य नियम के दो अपवादों के बारे में सोच सकता हूं:

  • यदि आपके पास एक पासवर्ड रहित कुंजी है जो किसी विशिष्ट मशीन (जैसे स्वचालित बैकअप या अधिसूचना तंत्र) पर किसी विशिष्ट कमांड तक पहुंच प्रदान करती है, तो वह कुंजी सामान्य खोल एक्सेस कुंजी से अलग होनी चाहिए।
  • यदि कुछ मशीनों को अंतःस्थापित रूप से जोड़ा जाता है, तो जब तक आप नई कुंजी को तैनात करने के लिए चारों ओर नहीं पहुंच जाते, तब तक आपके पास एक निजी निजी कुंजी के साथ पुरानी निजी कुंजी हो सकती है।

83
2017-09-16 18:26



इस तरह मैंने हमेशा अपने कीपैयर का उपयोग किया है। मुझे समझ में नहीं आया कि क्यों गिटहब अपने सेटअप निर्देशों में एक नया कीपैयर पैदा करने की वकालत कर रहा था। मैंने इसे अनदेखा किया और मेरे मानक कीपैयर का इस्तेमाल किया। मुझे लगता है कि वे रूढ़िवादी हैं। - toolbear74
ठीक है, तो आप कहते हैं, "विभिन्न क्षेत्रों में मशीनों पर एक ही निजी कुंजी का उपयोग न करें" लेकिन क्या होगा यदि DNS आपके स्थान के आधार पर किसी दिए गए होस्ट नाम को मशीन पर हल करता है? निजी कुंजी साझा किए बिना मुझे चेतावनी या असफलता मिलती है जब मैं उस होस्ट नाम पर ssh या rsync करने का प्रयास करता हूं क्योंकि एसएसएच उसी मेजबान नाम के लिए दो अलग-अलग कुंजी रखने में भ्रमित हो जाता है। - Michael
@ माइकल मुझे समझ में नहीं आता कि आपके साथ क्या समस्या हो सकती है उपयोगकर्ता आपके द्वारा वर्णित परिदृश्य में कुंजी, जो इस धागे के बारे में है। एसएसएच के बारे में भ्रमित हो जाएगा मेज़बान चाबियाँ, लेकिन जो उपयोगकर्ता आप देखते हैं वह मेजबान की सार्वजनिक कुंजी है, मेजबान की निजी कुंजी नहीं, और मेजबान की निजी कुंजी साझा करना खतरनाक है - मैं केवल यह सलाह दूंगा कि मेजबान पूरी तरह से समकक्ष हैं (अगर उनमें से एक विफल रहता है तो अनावश्यकता ), और शायद तब भी नहीं। - Gilles
आह अच्छा। ऐसा लगता है कि दोनों के बीच बहुत स्पष्ट अंतर नहीं है, और यह माना जाता है कि आप जानते हैं कि किसके बारे में बात की जा रही है। - Michael
@ जेएसबीच प्रति क्षेत्र अलग-अलग कुंजियां रखने से आप बेहतर अनाज वाली अनुमतियों को परिभाषित कर सकते हैं (कम सुरक्षा वाले ए पर संग्रहीत कुंजी ए की मशीनों के बीच उपयोग की अनुमति है, लेकिन बी में लॉग इन करने के लिए एक मजबूत प्रमाणीकरण कारक की आवश्यकता होती है) और आपको उन्हें निरस्त करने की अनुमति देता है अलग से (दायरे ए समझौता किया गया है, लेकिन मैं अभी भी बी से सी में लॉग इन कर सकते हैं)। एसएसओ वह मामला है जहां आप उच्चतम सुरक्षा प्रणाली में लॉग इन करते हैं, और फिर आप कहीं और लॉग इन कर सकते हैं। मुझे नहीं पता कि प्रति उपयोगकर्ता एकाधिक कुंजी रखने में वे क्या जोखिम देखते हैं। यह एक विषय होगा सूचना सुरक्षा। - Gilles


मुझे नहीं पता कि सबसे अच्छा तरीका क्या है लेकिन मैं बता सकता हूं कि मेरा तरीका कौन सा है।

एक sysadmin के रूप में मैं रूट के रूप में प्रत्येक सर्वर / सेवा तक पहुंचने के लिए एक अलग कुंजी का उपयोग करता हूं। इस तरह, यदि कोई कुंजी गुम हो जाती है या समझौता किया जाता है तो मैं जोखिम को एक सर्वर पर सीमित करता हूं और मुझे अपनी नई सेवाओं को ब्रांड नई कुंजी के साथ अपडेट करने की आवश्यकता नहीं है।

उपयोगकर्ताओं की बात करते हुए, मैं उनमें से प्रत्येक के लिए एक अलग कुंजी का उपयोग करता हूं। उस कुंजी के साथ उपयोगकर्ता एक अप्रतिबंधित उपयोगकर्ता के रूप में आवश्यक सेवा तक पहुंच सकता है। इस तरह, मैं प्रत्येक उपयोगकर्ता को एकल सेवाओं तक आसानी से पहुंच या निरस्त कर सकता हूं। यदि उपयोगकर्ता अपनी कुंजी खो देता है तो मैं इसे सभी सेवाओं से हटा सकता हूं और अनधिकृत पहुंच के जोखिम को सीमित कर सकता हूं।


4
2017-09-16 14:28



+1 मैं अपने मालिक के साथ एक नई कुंजी उपयोग नीति के बारे में बात करने जा रहा हूं ;-) प्रति सर्वर / सेवा प्रति नेटवर्क की तुलना में और भी सुरक्षित लगता है - Diskilla


मेरा मानना ​​है कि जब तक आप उस पर पासफ्रेज डालते हैं, तब तक आप निजी कुंजी का उपयोग कहीं भी कर सकते हैं, जिसका अर्थ यह है कि क्या आप अपनी निजी कुंजी को कुछ मशीनों के साथ साझा करना चाहते हैं, लैपटॉप 1, 2, डेस्कटॉप 1, 2 कहें ठीक होना चाहिए।

मेरे अनुभव से, मेरी मुख्य मशीन मेरा डेस्कटॉप है कि मैं अपने शक्तिशाली प्रोसेसर के साथ अपना अधिकांश काम करता हूं, लेकिन कभी-कभी मुझे मोबाइल पर अपने लैपटॉप का उपयोग करने की ज़रूरत होती है, डेटा सेंटर और सामान में समस्या निवारण, इसलिए, मैं अभी भी किसी भी मेजबान में लॉगिन कर सकता हूं कि मेरे पास मेरी सार्वजनिक कुंजी है।


1
2018-06-27 08:27



यहां सबसे अच्छा जवाब पढ़ें। आप यह गलत कर रहे है। ऐसा नहीं है कि आप इसे इस तरह से नहीं कर सकते लेकिन आपको नहीं करना चाहिए। - PhilT
सभी डाउनवॉट क्यों नहीं देख सकते हैं। यूनिवर्सिटी नेटवर्क्स (उदाहरण के लिए) में अक्सर नेटवर्क की होम निर्देशिका होती है, इसलिए एक ही निजी कुंजी उपयोगकर्ता द्वारा हर जगह उपयोग की जाती है, यहां तक ​​कि आपके द्वारा दिए गए लैपटॉप पर भी। जब तक आप इसे इंटरनेट पर अनएन्क्रिप्टेड नहीं करते हैं, तो मुझे लगता है कि अगर आप जोखिम को समझते हैं तो यह ठीक है। जिस तरह से आप एक अलग मशीन में लॉग इन करते हैं, सिर्फ 2,000 अलग-अलग स्थानों पर अपनी सार्वजनिक कुंजी को जोड़ने की ज़रूरत नहीं है। - Asfand Qazi
उपरोक्त क्योंकि आप इस जवाब के लिए प्रतिनिधि खोना नहीं चाहिए। यह व्यक्तिगत वरीयता है, स्पष्ट रूप से एक अलग कुंजी प्रति सेवा का उपयोग करके और मशीन अंततः आपको अधिक नियंत्रण देती है, लेकिन कभी-कभी यह आपके उपयोग के मामले के आधार पर समय की बर्बादी है। - Daniel Dewhurst


मेरी कंपनी में हम इन कुंजी उपयोगकर्ता विशिष्ट का उपयोग करते हैं। इसका मतलब मामला दो है। उपयोगकर्ता की अपनी कुंजी होती है और इसका उपयोग कंपनी सिस्टम से कनेक्ट करने के लिए हर मशीन के लिए किया जाता है। मेरी राय एक प्रणाली के लिए एक कुंजी का उपयोग करना है। इसका मतलब है कि आप इस कुंजी का उपयोग प्रत्येक मशीन पर करते हैं जिसे आपको विशिष्ट नेटवर्क से कनेक्ट करने की आवश्यकता होती है। आपके मामले के लिए यह गिटहब के लिए एक कुंजी होगी और कंपनी सिस्टम के लिए एक कुंजी होगी। इसलिए, यदि आपका व्यवस्थापक आपको फिर से पूछता है, तो मैं उसे आखिरी बार एक ही कुंजी दूंगा। एक नया नहीं। लेकिन, मुझे नहीं पता कि इन चाबियों के लिए एक आम उपयोग नीति है या नहीं और मैं तब से गलत कर रहा हूं। यह सुनिश्चित संभव है ;-)


0
2017-09-16 13:27





आपके द्वारा जेनरेट की गई सार्वजनिक कुंजी सभी के लिए है। यह उन्हें अनुमति देगा ए) प्रमाणीकरण की जांच करें बी) आपके लिए एन्क्रिप्ट करें

निजी कुंजी, अच्छी तरह से, निजी है। यह केवल तुम्हारे लिए है। और यह एक महत्वपूर्ण जगह पर कहीं भी बैकअप होना चाहिए। यदि आप इसे यूएसबी स्टिक पर सहेजते हैं तो आप इसे एक सुरक्षित पासवर्ड से भी एन्क्रिप्ट कर सकते हैं।

सार्वजनिक कुंजी दूसरों के लिए आपकी पहचान है। इसलिए कोई समस्या नहीं है / सब कुछ के लिए एक कुंजी जोड़ी का उपयोग करना बेहतर है, कम से कम जहां आप एक स्पष्ट नई पहचान का उपयोग नहीं करना चाहते हैं, इसलिए अन्य लोग यह नहीं जान पाएंगे कि यह आप हैं।


0
2017-09-16 13:30



धन्यवाद, लेकिन आपका जवाब, ज्यादातर, मेरे प्रश्न से असंबंधित है। @ डिस्किला का जवाब देखें। - Behrang