ядро ubuntu - лучшая практика для резервного копирования открытых/закрытых ключей

KrisP

20.01.2023, 18:29

мы тестируем использование Ubuntu Core для наших датчиков/устройств управления IoT

Я пытался сымитировать ситуацию, когда, если ключ скомпрометирован, как лучше всего использовать пару ключей ssh. Во всех примерах инструкция состоит в том, чтобы создать только одну пару. В случае компрометации желательно сначала немедленно удалить скомпрометированный ключ.

Я использовал следующий метод для создания двух наборов ключей — одного в качестве основного и второго в качестве резервного.

В ubuntu SSO создал два ключа — похожий на основной и резервный. Установил ядро Ubuntu с нуля в RPi. Когда я впервые вошел в систему, он получил оба открытых ключа с сервера SSO.

Затем я смог ssh с каждым ключом отдельно. Таким образом, можно войти в устройство с помощью резервного ключа и удалить скомпрометированный ключ.

Надеюсь, это поможет кому-то.

Однако, если есть лучший способ, я хотел бы знать.

0 + 0

безопасность

Ubuntu-ядро

Рейтинг:1

Ubuntu

kyrofa

20.01.2023, 18:50

На мой взгляд, чем больше у вас ключей на устройстве, тем шире поверхность атаки. Только один ключ должен протекать, и теперь у вас есть больше, чем может протекать.

В некоторых ситуациях это имеет смысл, но я не уверен, что вы получаете в описанном вами сценарии. Если ключ SSH A скомпрометирован, кто-то с этим ключом может получить доступ к устройству. Период. Ключ SSH B, который также имеет доступ к устройству, вообще не фигурирует. Таким образом, использование SSH-ключа B для получения доступа к устройству для «отзыва» SSH-ключа A не имеет особого смысла. Тот факт, что ключ SSH A скомпрометирован, очевидно, не делает его бесполезным. Вы можете так же легко использовать ТОЛЬКО SSH-ключ A и использовать его снова, чтобы получить доступ к устройству и заменить его на SSH-ключ B в случае компрометации. Тогда у вас будет только один ключ с доступом к устройству. Та же модель безопасности, что и у вас сейчас, но ваша поверхность атаки не такая широкая.

Было бы еще лучше, если бы Ubuntu Core предоставил способ обновить ключи на устройствах, связанных с вашей учетной записью SSO (это также помогло бы в случае потери ключа), но я не верю, что такая функциональность существует сегодня (см. LP #1646559).

0 + 0

Admin

Этот вопрос на других языках:

EN: ubuntu core - best practice for backup public/private keys

TH: ubuntu core - แนวปฏิบัติที่ดีที่สุดสำหรับคีย์สำรองสาธารณะ / ส่วนตัว

RO: ubuntu core - cea mai bună practică pentru backup-ul cheilor publice/private

RU: ядро ubuntu - лучшая практика для резервного копирования открытых/закрытых ключей

VI: lõi ubuntu - cách thực hành tốt nhất để sao lưu khóa công khai/riêng tư

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.