Security
SSH 私鑰失去時的安全性
使用者 A 有兩個 SSH 私鑰,並且隨著時間的推移在許多伺服器上使用了這個公鑰,他失去了其中一個,並創建了一個新密鑰對。
使用者 A 如何通知我(系統管理員)他失去了密鑰,以及我如何管理他有權訪問的所有伺服器(我沒有使用者 A 有權訪問的所有伺服器的列表)。換句話說,我如何回憶與這個私鑰關聯的公鑰。
在基於 LDAP 的身份驗證中,所有伺服器都將與單個伺服器儲存庫通信以進行身份驗證,如果我刪除訪問權限或修改伺服器上的密碼,則當使用者 A 失去密碼時,使用此 LDAP 進行身份驗證的所有系統都是安全的。
你用的是什麼版本的 sshd?OpenSSH 5.4 顯然有一個密鑰撤銷選項:
* Add the ability to revoke keys in sshd(8) and ssh(1). User keys may be revoked using a new sshd_config(5) option "RevokedKeys". Host keys are revoked through known_hosts (details in the sshd(8) man page). Revoked keys cannot be used for user or host authentication and will trigger a warning if used.
如果您使用的是早期版本,您可能必須在所有伺服器上執行所有可能的 authorized_keys 文件以查找並刪除可疑的公鑰。這將包括使用者 A 可以 ssh 進入的任何帳戶,包括 root。這假設您沒有使用集中的 authoried_key 管理。