Здравствуйте, я работаю над переключением всех моих ключей на ed25519. Я выполнил эту команду:

ssh-keygen -t ed25519 -C "user on server"

теперь он генерирует закрытый ключ и открытый ключ. Я копирую открытый ключ в author_keys на HOST (сервер), а затем я делаю эти разрешения (на сервере, конечно):

HostKey /etc/ssh/ssh_host_ed25519_key
PermitRootLogin no
PubkeyAuthentication yes
AuthorizedKeysFile      .ssh/authorized_keys
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no

Мой логин выглядит нормально, я могу войти без пароля, и это не позволяет мне войти с паролем. На моем клиенте у меня есть id_ed25519 и id_ed25519.pub.

У меня есть один главный вопрос: почему я могу отредактировать и изменить id_ed25519 (закрытый ключ) и изменить некоторые буквы в нем без проблем со входом в систему? Только когда я отредактировал несколько писем, я получаю ошибку.

Другой мой вопрос: как мне создать новый ключ для другого сервера? Мне нужны отдельные ключи для отдельных серверов, так как некоторые компьютеры имеют доступ к этим серверам, а другие нет. в качестве меры безопасности в случае кражи закрытого / открытого ключа, я хотел бы знать, что машина взломана, но ключи, которых не было на этой машине, не были взломаны.

Благодарю.

|источник

1 ответ1

0

Я могу дать ответы.

  1. «У меня есть один главный вопрос: почему я могу отредактировать и изменить id_ed25519 (закрытый ключ) и изменить некоторые буквы в нем без проблем со входом в систему? Только когда я отредактировал несколько писем, я получаю сообщение об ошибке ".

На самом деле вы можете изменить некоторые символы из ваших ключей без получения ошибки. Вот как работает криптография с открытым ключом. Если вы измените только несколько символов, ключ позволит войти в систему. Это потому, что реализация проверки умножения все еще достаточно близка к правильной. Это не должно быть абсолютным совпадением.

  1. «Другой мой вопрос: как мне создать новый ключ для другого сервера? Мне нужны отдельные ключи для отдельных серверов, так как некоторые компьютеры имеют доступ к этим серверам, а другие нет. в качестве меры безопасности в случае кражи закрытого / открытого ключа, я хотел бы знать, что машина взломана, но ключи, которых не было на этой машине, не были взломаны ".

Я верю, что ты можешь сделать это. Отдельные ключи для отдельных серверов можно настроить для sshd. Я не совсем уверен, что вы спрашиваете здесь. Не могли бы вы уточнить это? Я имею в виду, как еще вы подойдете к этому?

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .