Security

SSH 私鑰失去時的安全性

  • March 14, 2017

使用者 A 有兩個 SSH 私鑰,並且隨著時間的推移在許多伺服器上使用了這個公鑰,他失去了其中一個,並創建了一個新密鑰對。

使用者 A 如何通知我(系統管理員)他失去了密鑰,以及我如何管理他有權訪問的所有伺服器(我沒有使用者 A 有權訪問的所有伺服器的列表)。換句話說,我如何回憶與這個私鑰關聯的公鑰。

在基於 LDAP 的身份驗證中,所有伺服器都將與單個伺服器儲存庫通信以進行身份驗證,如果我刪除訪問權限或修改伺服器上的密碼,則當使用者 A 失去密碼時,使用此 LDAP 進行身份驗證的所有系統都是安全的。

你用的是什麼版本的 sshd?OpenSSH 5.4 顯然有一個密鑰撤銷選項:

* Add the ability to revoke keys in sshd(8) and ssh(1). User keys may
be revoked using a new sshd_config(5) option "RevokedKeys". Host keys 
are revoked through known_hosts (details in the sshd(8) man page).   
Revoked keys cannot be used for user or host authentication and will  
trigger a warning if used.

如果您使用的是早期版本,您可能必須在所有伺服器上執行所有可能的 authorized_keys 文件以查找並刪除可疑的公鑰。這將包括使用者 A 可以 ssh 進入的任何帳戶,包括 root。這假設您沒有使用集中的 authoried_key 管理。

引用自:https://serverfault.com/questions/372990