Защитите свой частный gpg и ssh ключи от других людей, получающих доступ ssh
Существует человек A и человек B, у других из них есть друг друг ssh открытый ключ, так, чтобы средства, они могут получить доступ к каждому другие, окружили.
теперь они могут получить доступ к каждому другие частный ssh и gpg закрытые ключи. и они могут легко экспортировать и их закрытые ключи себе.
есть ли способ, которым они не могут получить доступ к этим ключам или не способные экспортировать их.
Есть ли способ ограничить их в доступе друг к другу ~/.gnugp и ~/.ssh папка
Заранее спасибо
ОТРЕДАКТИРУЙТЕ хорошо, я пробую своими 2 компьютерами, я получил доступ к своей системе с моим ноутбуком
amr@amr-Notebook:~$ ssh rusty@192.168.1.8
rusty@192.168.1.8's password:
Welcome to Ubuntu 12.04.1 LTS (GNU/Linux 3.2.0-29-generic-pae i686)
* Documentation: https://help.ubuntu.com/
11 packages can be updated.
0 updates are security updates.
The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.
Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.
rusty@rusty-MS:~$ exit
logout
Connection to 192.168.1.8 closed.
amr@amr-Notebook:~$ ssh-copy-id -i ~/.ssh/id_rsa.pub rusty@192.168.1.8
rusty@192.168.1.8's password:
Now try logging into the machine, with "ssh 'rusty@192.168.1.8'", and check in:
~/.ssh/authorized_keys
to make sure we haven't added extra keys that you weren't expecting.
amr@amr-Notebook:~$ ssh rusty@192.168.1.8
Welcome to Ubuntu 12.04.1 LTS (GNU/Linux 3.2.0-29-generic-pae i686)
* Documentation: https://help.ubuntu.com/
11 packages can be updated.
0 updates are security updates.
Last login: Sat Sep 8 21:01:06 2012 from amr-notebook.local
rusty@rusty-MS:~$
rusty@rusty-MS:~$ cd .ssh/
rusty@rusty-MS:~/.ssh$ ls
authorized_keys id_rsa id_rsa.pub
rusty@rusty-MS:~/.ssh$
я получил доступ к своему рабочему столу от моего ноутбука просто мой shh и пароль
затем я logedout и затем отправляю свой открытый ключ в настольную систему
затем я попробовал еще раз с ssh, и на этот раз он просто впустил меня
и поскольку Вы видите выше, я могу легко получить доступ к настольным системам ssh папка и видеть все ключи
теперь есть ли способ, которым я не могу получить доступ к своему рабочему столу .ssh папка и никакой доступ к настольным открытым и закрытым ключам
Спасибо
2 ответа
Учитывая Ваш пример, с двумя людьми и двумя компьютерами, должно быть четыре учетных записи:
-
На рабочем столе Rusty: ~rusty/и ~shiny /
-
и на ноутбуке Shiny: ~rusty/и ~shiny /
На рабочем столе у Вас мог быть и открытый ключ ~rusty с закрытым ключом; и открытый ключ
~/shiny На ноутбуке у Вас могли быть открытый ключ ~rusty и открытый ключ ~shiny и закрытый ключ
Ржавая банка ssh в его собственную учетную запись на ноутбуке и Солнечную банку ssh от ноутбука до рабочего стола.
Блестящий не видят закрытого ключа rusty, так как он не может войти в настольную учетную запись rusty, и ржавый не видят закрытого ключа shiny, так как он не может войти в учетную запись ноутбука shiny. Без закрытых ключей они не могут войти в систему каждого учетные записи других, даже если у них есть соответствующие открытые ключи.
администратор Каждой системы (или корень) видит в каждую из этих учетных записей, но, пока это Ржаво для настольного и Солнечного для ноутбука, и они не добавили друг друга к sudoers группе, они все еще не видят секретного закрытого ключа друг друга.
Помнят, всегда нормально отправлять любой открытый ключ любому - это не проблема безопасности.
Агент SSH является Вашим другом. Сохраните свой закрытый ключ SSH ТОЛЬКО на Вашем частном и безопасном устройстве. Используйте-A опцию для ssh для вызова агента, передающего и через дополнительные хосты. Пользователи сервера SSH или любой другой промежуточный сервер не смогут украсть Ваш ключ без отслеживания уровня ядра, и очень усовершенствованная судебная экспертиза памяти SSH (у большинства людей не будет навыков и нет никакого инструмента, чтобы сделать это автоматически).
me@my-secure-laptop$ ssh -A myaccount@some-server.com
можно также интересоваться усилением приложения связки ключей для дополнительной безопасности.
$ aptitude search keychain
i keychain
key manager for OpenSSH