LINUX.ORG.RU
ФорумGeneral

как безопасно хранить ssh ключи?

 


1

2

Здравствуйте, подскажите пожалуйста, а кто как хранит у себя приватные ssh-ключи и на что обращать внимание с т.з. безопасности? Насколько нормально/плохо хранить по стандартной практике в домашнем каталоге пользователя в каталоге .ssh? На мой взгляд, безопаснее хранить где-нибудь в другом месте, а то этот каталог точно проверят в случае чего. Используете ли для хранения ключей какие-нибудь менеджеры паролей с ssh-агентом? Насколько сильно небезопасно сохранять парольную фразу ключа в каком-нибудь ssh-агенте, где есть такая возможность, чтобы не вводить каждый раз при входе на хост? (Moba Xterm и т.д.)

Существует ли lxd для armv6l? (32-bit Raspberry PI 1 B+)
А вы используете GUI для Git или консоли хватает?

а то этот каталог точно проверят в случае чего

А, в случае чего и кто проверит?

vvn_black ★★★★★
()

как безопасно хранить ssh ключи?

Под матрасом

Clockwork ★★★★★
()

Насколько сильно небезопасно сохранять парольную фразу ключа в каком-нибудь ssh-агенте, где есть такая возможность, чтобы не вводить каждый раз при входе на хост?

Если паролить ключ тем же паролем, что и у пользователя то можно застакать pam-модули так, что агент будет разлочивать ключ при входе по паролю.

Pinkbyte ★★★★★
()

На мой взгляд, безопаснее хранить где-нибудь в другом месте, а то этот каталог точно проверят в случае чего.

Товарищ майор в соседнем кресле щас под стол скатится от смеха.

Clockwork ★★★★★
()

В аппаратном токене вроде Yubikey.

t184256 ★★★★★
()

Просто используй просто одноразовые ключи.
Как видишь всё просто

zolden ★★★★★
()

у keepassxc есть интеграция с ssh-agent

MaZy ★★★★★
()

На съедобной флешке

Jameson ★★★★★
()

Прямо идентичная тема была же не так давно.
Фантазии не хватает или поиск не работает?

mexx
()

все пароли храню в текстовом файлике на флешке в двух экземплярах.

проблемы безопасно хранить нет, есть проблема потерять.

безопасно хранить ты можешь на устройстве которое не выходит в сеть. никуда твои данные не утекут. это ничем не отличается от хранения на клочке бумаги.

а вот потерять свои данные ты можешь на раз-два, банально забыв, куда сохранял их. просто если ты нормальный человек и живёшь обычной жизнью, где у тебя дом, семья, дети, друзья, работа и всё прочее... вот тебе делать больше нефиг, кроме как пердолить линукс на тему безопасного хранения данных? а? серьёзно? настолько заняться нечем?

вот поэтому берёшь текстовый файлик и записываешь на две-три флешки и читаешь на устройстве без интернета.

nuff said.

Spoofing ★★★★★
()

ещё для ssh есть опция -J для прыжка через хост, это как раз сделано для того, что ты на одном доверенном хосте можешь хранить все ssh ключи, и через него подключаться к другим хостам.

Spoofing ★★★★★
()

Если ключ запаролен, то какая разница где?

Не говоря о том, что ещё нужно знать для какого сервера этот ключ.

grem ★★★★★
()
Последнее исправление: grem (всего исправлений: 1)

чтобы не вводить каждый раз при входе на хост?

Имеешь в виду промежуточные хосты, на которые могут ходить другие пользователи? Тогда тебе нужно проксировать запросы к агенту (ssh -A), а не класть свои ключи на промежуточный хост.

i-rinat ★★★★★
()
Ответ на: комментарий от Spoofing

надеюсь ты это про пароли от ssh-ключа ?? :)
а то как-то предлагать человекоориентированный пароль взамен ed25519 ключа както нелогично :)

pfg ★★★★★
()

Единственно верный ответ, в аппаратном токене. Я лично (как и многие) боюсь не силовиков, которые всё равно получат доступ ко всем моим данным, а потерять ключи, винт сдох, например. Поэтому я делаю архивы, а не занимаюсь безопасностью.

azsx
()
Ответ на: комментарий от Extraterrestrial

максимальное сжатие для короткого ключа, который по сути своей является ПСП - излишне :)

pfg ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Существует ли lxd для armv6l? (32-bit Raspberry PI 1 B+)
General
А вы используете GUI для Git или консоли хватает?