Devo fazer backup das minhas chaves de host SSH?

8

Nos meus backups automatizados, não tenho certeza se devo fazer isso. Se o disco rígido falhar ou se eu limpar o disco rígido e começar de novo, qual será o efeito de começar com uma nova chave de host SSH para meus clientes? Terei que fazer algo especial além de remover o nome do host do known_hostsarquivo de cada cliente ? Qual é a melhor coisa a fazer neste caso? Estou planejando limpar meu computador e começar do zero nos próximos dias.

ssh security backup openssh Naftuli Kay
fonte

Respostas:

10

Se você estiver reinstalando o sistema operacional no seu computador, mas considerar que ainda é o mesmo computador, faça backup da chave privada SSH e restaure-a após a instalação. Se você estiver reutilizando o mesmo hardware para criar um sistema diferente, deverá gerar uma nova chave para o novo sistema. Decidir se ainda é o mesmo computador é uma decisão semântica, então cabe a você; restaurar ou regenerar a chave SSH é a implementação desta decisão.

Se você é a única pessoa acessando esse computador, isso não importa muito. Se você tiver outros usuários, alterar a chave SSH causará problemas:

  • Os poucos usuários preocupados com a segurança e com conhecimento se preocupam com a ocorrência de algo ruim e tentam entrar em contato com você fora da banda para avisá-lo de que eles podem estar sob ataque.
  • Os poucos usuários que têm conhecimento, mas não são paranóicos, removerão a chave SSH antiga para se livrar da mensagem de erro e resmungarão sobre o administrador do sistema alterar a chave.
  • A maioria dos usuários que ignoram as mensagens apenas vê que não conseguem se conectar e podem entrar em contato com você para obter ajuda.
Gilles 'SO- parar de ser mau'
fonte
Como posso fazer backup da chave privada ssh? Estou planejando fazer uma nova instalação do sistema operacional
ltdev 17/05/19
@ Lykos É apenas um arquivo (um arquivo por algoritmo, na verdade, e faz backup do arquivo de chave pública por conveniência, mesmo que possa ser reconstruído a partir do arquivo de chave privada). Normalmente localizado em /etc/ssh_host_*_key*ou/etc/ssh/ssh_host_*_key*
Gilles 'SO- stop be evil'
Não tenho certeza se eu entendo correto, mas eu posso fazer cat ~/.ssh/id_rsa.pube cat ~/.ssh/id_rsa.pube copiar o conteúdo em um arquivo txt como um back-up?
ltdev
@ Lykos Essas são chaves públicas do usuário, que não têm nada a ver com essa pergunta em particular. Não sei o que você deseja fazer, mas geralmente o mais importante é fazer backup das chaves privadas. Não confunda chaves de host e chaves de usuário (tenho certeza de que temos uma pergunta ou três sobre o assunto).
Gilles 'SO- stop be evil'
2

A menos que um mundo de pessoas se conecte ao seu sistema além de você e você queira que a mudança no serviço seja o mais ininterrupta possível, provavelmente é melhor criar novas chaves de host. Se você limpar um sistema e começar do zero, ele realmente não será o mesmo de antes e seus clientes ssh terão razão em notificá-lo de que o sistema foi alterado. Se você não tiver travamentos malucos em efeito, caso não consiga se conectar a novos hosts, isso deve ser uma questão fácil de atualizar o arquivo de hosts conhecidos.

Caleb
fonte