Nepletes si nahodou RSA klice serveru a uzivatelovo klice?

RSA klice serveru jsou v /etc/ssh/.... a ty slouzi k tomu, aby si klient overil, ze se pripojuje na cilovy server a ne nejaky MITM server. Ty by se opravdu menit nemely a pokud to nekdo dela pravidelne, tak to neni moc dobre. Obyvkle se zmeni pri preinstalaci systemu a uzivatel by to mel vedet a vymazat si stare klice.

Pokud se to meni casto, lze pouzit nastaveni StrictHostChecking=no v kombinaci s UserKnownHostsFile=/dev/null, pak bude klient hlasit pouze warning, ale bude fungovat.

Uzivatelovo klice muze menit jenom uzivatel v .ssh/id_rsa/dsa a na serveru jsou ulozene v ~/.ssh/authorized_keys. Ze by nekdo tohle casto menil, to pochybuju, leda by se to automaticky cistilo nebo se uploadoval soubor ze zalohy.

Zadavat nekam heslo k ssh je pakarna. Pokud ma neco ssh, tak to umi urcite pouzivat i klice. Mame switche HP ProCurve s ssh a umoznuji take vlozit ssh klice. Naopak, ssh klice je lepsi pouzivat, protoze se tak daji lepe regulovat prava - stejny login muze byt pristupny ruznym uzivatelum pres klice a lze pak jednotlive uzivatele zakazovat a povolovat pouze smazanim/pridanim klice. Navic klice mohou uzivatel sifrovat jedinym silnym heslem, takze odpada nutnost znalost nekolika ruznych slabych hesel a pamatovani si, na kterych server jsou ktere.

Klice jsou obvykle v sshd zapnute.