Я должен был сгенерировать что-то, что имеет расширение .key . А в инструкции просто написано « Храни надежно ». Как???

Ответ, который я надеюсь получить здесь, например, это должна быть папка? С какими разрешениями на папку? Есть ли какое-либо условное имя и / или место на диске, где его хранить? Или чем случайнее, тем лучше? Какими должны быть права доступа к самому файлу (наверное, 400 ?)...

Мой вопрос выходит за рамки вопроса о хранении ключей SSH, поскольку он более общий. На самом деле, я посмотрел на мою папку .ssh . Я вижу, что это 600 , будет ли разумно хранить все ключи там? Но я только что прочитал, что браузеры могут читать из этой папки ...

Кроме того, мне не нужно шифрование пароля на этом ключе (в моем конкретном случае, но я думаю, что было бы неплохо узнать как вариант b).)

Это очень простой вопрос, но я потратил некоторое время на поиск в Интернете, но большинство ответов касаются некоторых особых случаев, когда ключи хранятся в коде или требуют стороннего шифрования или нет. Я ищу своего рода основные рекомендации по передовой практике .

2 ответа2

2

То, что считается "достаточно безопасным", зависит от вашей модели угроз - от того, что вы защищаете, кто ваши злоумышленники и ваш риск.

Если вы храните ключ в своих списках рекордов на отдельном компьютере, к которому никто другой не имеет доступа, файл, читаемый всем миром, может быть "достаточно безопасным".

Если вы защищаете ключ SSH для фермы серверов на студенческом вычислительном сервере, вы можете сохранить его в зашифрованном виде на съемном устройстве, которое подключается к нему только на короткое время, когда это необходимо.

Большинство вариантов использования находятся где-то посередине (некоторые выпадают наружу, особенно в военном контексте).

0

Купите HSM, Yubikey или смарт-карту. Это наиболее безопасный способ его хранения, потому что даже злое приложение не может перекрасить материал закрытого ключа. Все, что хранится в файловой системе (даже с 600 разрешениями), может быть прочитано злыми root пользователями. Если он зашифрован в файловой системе, вам необходимо расшифровать его для использования и снова сохранить в памяти, к которой снова может получить доступ злой пользователь root .

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .