Portál AbcLinuxu, 25. dubna 2024 02:27
Řešení dotazu:
25.7.2013 03:31
Jendа | skóre: 78
| blog: Jenda
| JO70FB
25.7.2013 11:22
xkucf03 | skóre: 49
| blog: xkucf03
Jde ti o pár klíčů na serveru nebo na klientovi? Lze oboje, ale na serveru to je IMHO leda na škodu. Na klientech to určitý smysl dává (nemusíš si na serverech přidávat klíče ze všech klientských počítačů).
26.7.2013 08:48
xkucf03 | skóre: 49
| blog: xkucf03
Pak je to v pohodě.
Za jisté negativum lze považovat to, že když by došlo k ukradení klíče z jednoho klientského počítače, musíš tento klíč přestat používat všude a vyměnit klíče na všech klientech. Ale on by to byl průšvih tak jako tak (i kdyby každý klient měl svůj klíč), protože útočník by mohl nahrát svůj klíč na server nebo tam provést jinou (hůře odhalitelnou) lumpárnu.
Použít víc klientských klíčů dává smysl v souvislosti s více servery. Příklad: z klientských počítačů A a B se přihlásím na servery X, Y a Z, ale z klienta C se přihlásím jen na server Z – pro případ, že klient C je méně důvěryhodný (vyšší pravděpodobnost ukradení klíče) a server Z je méně důležitý (např. se tam jen ukládají zálohy, ale nejdou číst, mazat, ani napáchat nějakou větší škodu).
authorized_keys moc, nikomu se nebude chtít kontrolovat, jestli tam náhodou není nějaký, který tam nemá co dělat.
26.7.2013 19:42
xkucf03 | skóre: 49
| blog: xkucf03
rozkopírovávání klíče je IMO úplně stejně složité jako vygenerování nového a jeho nahrání na server.
Dejme tomu, že mám desktop a pak si pořídím i notebook – v tom případě si zkopíruji dva soubory a mám přístup na všechny servery i z notebooku. Místo abych musel obcházet všechny servery a přidávat na ně nový klíč.
Nicméně ten přístup, že klíč je vázaný na jedno zařízení a nikdy ho neopouští (ani při kopírování na jiné důvěryhodné zařízení), má taky něco do sebe (např. lze logovat odkud resp. jakým klíčem se uživatel přihlásil), ale přijde mi to trochu pracnější.
ssh-copy-id
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.