Kolik SSH klíčů u více serverů/klientů

[romanio]

Dobrý den,

chci se zeptat na váš názor na to, kolik různých klíčů použít při připojování přes SSH:

1. z jednoho klienta na více serverů - tady je to asi bez debat, že stejně jako při použití hesel, tj. každý server jiný klíč.

2. z více klientů na stejný server. Je nutné/vhodné/zbytečné vytvářet pro každého klienta pro připojení ke stejnému serveru jiný pár klíčů, či stačí jeden a privátní bezpečně přenést mezi klienty ?

Děkuji

[Reklama]

[nou]

Pouziva sa to presne opacne. Teda jeden kluc z jedneho klienta/stroja. Kluc sa da zdielat medzi viacerymi klientami ale to nie je prilis mudre pretoze ak pride ku kompromitacii jedneho z klientov je treba vymenit kluc na vsetkych klientoch. Ak ma kazdy klient svoj kluc tak staci v rpipade kompromitacie jedneho z klientov staci vymenit iba tento dany kluc.

Pouzit pre kazdy server vlatny kluc je mozne ale nema to zase prilis zmysel. Ak totiz pride ku kompromitacii klienta treba predpokladat ze vsetky kluce su zneuzitelne.

Ak pride ku kompromitacii servera tak sa z pohladu bezpecnosti kluca nic nedeje pretoze verejna cast kluca co je na serveri sa neda pouzit na prihlasenie k inemu serveru.

[jeniceek]

Vhodná praxe (tedy alespoň u nás v práci) je jedna osoba = jeden pár klíčů (private/public).
Když dojde k úniku, revokuješ jeden klíč.

[JardaP .]

Neni to tak trochu jedno? Kdyz vam cornou klienta, kde mate stejny klic na vsechny servery, tak mate prakticky stejny pruser, jako kdyz vam slohnou klienta, kde mate na kazdy server jiny klic. Akorat pokud mate na kazdy klic jine heslo, tak jim to zpomali louskani.

A pokud pouzijete klienty s unikatnimi klici pro kazdeho klienta, at uz s jednim klicem na vsechny servery nebo unikatnim klicem pro kazdy server, tak utocnikovi muze byt jedno, ze na jinem klientu mate jine klice. Utocnik uz klice ma a jeden pro kazdy server mu staci.

Ve vsech moznych kombinacich klicu vam ty vase s klidem smaze pod rukama a da si tam vlastni. Nebo si tam jen prida vlastni a cim vic klicu vy tam budete mit, tim vetsi nadeji utocnik ma, ze si nevsimnete, ze tam nejaky klic pribyl. Z toho duvodu bych asi byl pro variantu jeden klic na kazdeho admina, eventuelne na kazdeho admina a server, ale ne uz na kazdeho admina, server a klienta. Vysledek by byl akorat ten, ze vy se z toho kvanta klicu zblaznite.

Pokud chcete vetsi zabezpeceni, tak noste klice na flashce zasunute do riti, aby se k ni NSA nedostala. Nebo pouzijte nejaky ten token, co generuje unikatni hesla - idealne by byl chraneny PINem a po trech pokusech se zablokuje.

[to_je_jedno]

Pokud chcete vetsi zabezpeceni, tak noste klice na flashce zasunute do riti, aby se k ni NSA nedostala.

S tim mas nejakou praktickou zkusenost, ze to doporucujes? Zasunuti do zadele implikuje, ze se k ni nedostane NSA? Kolikrat se ti to takhle povedlo pred nima utajit? Sacoval te aspon poradne narachanej negr abys z toho neco mel? Ono by to totiz v tvem pripade dost veci vysvetlilo 

[Reklama]

[to_je_jedno]

Jo a k veci: kombinace jeden stroj - jeden user = 1 klic. Uz bylo napsano - pri komprimataci pak staci resit jen 1 klic na kazdeho usera na tom stroji.

[Filip Jirsák]

Stačí si uvědomit, že to, co máte na serveru, je veřejný klíč, takže to může být na milionu míst, to co máte na klientovi, je privátní klíč, takže střežit jako oko v hlavě.

1. z jednoho klienta na více serverů - tady je to asi bez debat, že stejně jako při použití hesel, tj. každý server jiný klíč.

Bez debat by to bylo, kdybyste napsal, že pro všechny servery stejný klič. Jaký je podle vás důvod k použití různých klíčů? U hesel je to jasné, kompromitace jednoho serveru a hesla by znamenala kompromitaci všech serverů. Ale u veřejného klíče?

2. z více klientů na stejný server. Je nutné/vhodné/zbytečné vytvářet pro každého klienta pro připojení ke stejnému serveru jiný pár klíčů, či stačí jeden a privátní bezpečně přenést mezi klienty ?

Jeden klíč je jednodušší na používání, při obměně klíčů nehrozí, že na nějaký klíč zapomenete, existuje 1:1 přiřazení mezi uživatelem a klíčem. Když používáte samostatný klíč pro každé zařízení, je jednoduché třeba v případě ztráty mobilu s klíčem ten jeden klíč hned revokovat a přístup máte dál z ostatních zařízení. Takže záleží na okolnostech, ale pokud nemáte důvod použít více klíčů, použil bych variantu 1 uživatel = 1 klíč s tím, aby existovala varianta, že se v případě ztráty jednoho klíče lze na server relativně jednoduše dostat (což řeší třeba už jen případ, kdy má server dva různé správce).

[URandom]

Bez debat by to bylo, kdybyste napsal, že pro všechny servery stejný klič. Jaký je podle vás důvod k použití různých klíčů? U hesel je to jasné, kompromitace jednoho serveru a hesla by znamenala kompromitaci všech serverů. Ale u veřejného klíče?

Nemam kluc per server, ale mam ich viac. U mna ide o ochranu proti chybe:
1. Sluzby / skripty maju vlastny kluc. Nechcem, aby sa vadny skript pripojil na zlu adresu a nieco tam robil, aj ked tam ako osoba mam pristup.
2. Bezne pristupove  udaje pre mna, ktore pouzivam kazdy den - nema roota.
3. Nudzovka, ktora je na inom ulozisku a ma roota vsade.
4. Verejny kluc u dalsieho priv. kluca je naozaj verejny, som paranoik a bojim sa zlych prvocisel a nahodnej faktorizacie
5. (Nepouzivam) v minulosti mi chybalo, ze som nemal kluce per projekt. Po skonceni by potom stacilo zmazat kluce u mna a nemusel by som dohladavat, kde vsade su pouzite.

[to_je_jedno]

použil bych variantu 1 uživatel = 1 klíč s tím, aby existovala varianta, že se v případě ztráty jednoho klíče lze na server relativně jednoduše dostat (což řeší třeba už jen případ, kdy má server dva různé správce).

Neni jednodussi to mit 1 klic = 1 user na 1 klientu? Ukradnou mi nahodou nezamceny notebook -> z desktopu mam stale pristupy protoze tam mam jiny klic (pro stejneho usera).

Stejne tak obcas "musim" nejaky privatni klic dat nekam kde ciste hypoteticky muze dojit k jeho zneuziti (jakkoliv spravcum vpsfree verim tak proste maji pristup do dat vsech clenu...)

[M.]

Použíání SSH klíčů jsme zrušili jako třídu pro běžné použití a jede se Kerberos pro normální lidi a je klid. Lidi majístejně noťasy s windows napojené na AD doménu (Samba 4), takže ta vydává Kerberos tickety lidem automaticky a hlásí se všude, kde potřebují a jen na severech se případně, jaké UPN se na co může připojit.
Exisutje jen sada SSH klíčů pro nouzové přihlášení, která se nepoužívá, stejně tak helsa na root a podobné nejsou lidem známá.

[Filip Jirsák]

URandom, to_je_jedno: S oběma souhlas. Dává smysl mít více klíčů pro jednoho uživatele – ale víc to souvisí třeba s organizací práce než primárně s bezpečností. Pro mne je to spíš „když nevíš, začni s jedním klíčem pro uživatele, a postupem času uvidíš, kdy by se třeba hodilo používat víc klíčů“.

[romanio]

Díky za všem reakce.
Má situace je ta, že jsem doposud používal připojení z jedno klienta k jednomu serveru. Teď bych se potřeboval připojovat k serverům dvěma z klienta stávajícího a nouzově i z dalšího. Obojí jen já osobně, nikdo jiný přístup nemá a mít nebude (aspoň doufám  ).
Takže jsem hloubal, jak to provést s klíči a protože jsem si nebyl jist, ptám se zde a jak vidno ne nadarmo - Ad 1) nevím, co mě vedlo k závěru, že by to mělo být jako s hesly. Takže jestli jsem to dobře pobral, stačí mi veřejný klíč hodit na nový server.
Ad 2) Tady je v mém případě při kompromitaci jednoho z klientů a zneužití klíče vážně jedno, jestli druhý klient má jiný klíč, případný útočník už je tam. Takže pro začátek si pouze nějak rozumě přenesu i privátní klíč na druhého klienta.

[to_je_jedno]

Ne. Na druhem klientovi si vygeneruj novy par a nauc oba servery akceptovat oba klice.

Kdyz dojde ke kompromitaci "hlavniho" tak zablokujes ten, ale nedoslo ke kompromitaci toho zalozniho takze ten pouzijes pro nouzovy pristup (samozrejme to chce mit jeste zalohu v podobe "fyzickeho" pristupu kdyby ti utocnik zakazal jine klice nez svuj vlastni). Zakazany SSH pristup pres heslo povazuji za samozrejmost, stejne jako SSH pro roota.

[Jose D]

stejne jako SSH pro roota.

IMO zakaz ssh pro roota neni bezpecnostni featura.

[Filip Jirsák]

Ad 2) Tady je v mém případě při kompromitaci jednoho z klientů a zneužití klíče vážně jedno, jestli druhý klient má jiný klíč, případný útočník už je tam. Takže pro začátek si pouze nějak rozumě přenesu i privátní klíč na druhého klienta.

Když jste jediný správce těch serverů, asi to nebudou nějaké super tajné systémy. Takže když ztratíte třeba mobil s klíčem, nemusíte hned předpokládat, že ho okamžitě našel nějaký hacker a už se vám probourává do systému, nebo dokonce že to nebyla žádná ztráta, ale dobře promyšlená krádež. Takže když takovou ztrátu zjistíte, máte čas v klidu se přihlásit druhým klíčem a první klíč zablokovat.

Což ale neznamená, že ty klíče nutně musíte mít dva, jenom mi ten argument o kompromitaci nepřipadá moc relevantní.