Obawy związane z wyświetlaniem klucza prywatnego ssh


14

Popełniłem ogromny błąd, a przynajmniej tak mi się wydaje: „złapałem” mój prywatny klucz SSH

cat ~/.ssh/id_rsa

Obawiam się, że utworzyłem lukę w zabezpieczeniach, która pozwala innym użytkownikom zobaczyć mój klucz prywatny, przeglądając historię bash / scrollback lub używając innych metod. Więc moje pytania:

  1. Czy naprawdę naraziłem bezpieczeństwo mojej pary kluczy SSH?
  2. Czy istnieją „wystarczająco bezpieczne” sposoby łatania go, wyłączając oczywisty (i najbezpieczniejszy) sposób tworzenia nowej pary kluczy?

(UWAGA: jestem jedynym użytkownikiem maszyny, więc tak naprawdę nie jestem tym zainteresowany w moim konkretnym przypadku, ale pomyślałem, że będzie to interesujące pytanie.)

Odpowiedzi:


20

Jeśli zrobiłeś to prywatnie, nie ma problemu. Pomyśl o tym - i tak wyświetlasz tylko te same dane, które są już zapisane na dysku twardym. A jeśli ktokolwiek mógłby uzyskać dostęp do twojej historii przewijania lub historii, równie dobrze mógłby bezpośrednio odczytać id_rsaplik.

  • Poza tym historia twojej powłoki - nawet jeśli była czytelna dla innych użytkowników (co nie jest) - zawiera tylko polecenia, a nie ich dane wyjściowe. Więc wszystko, co będzie miał, to linia z cat ~/.ssh/id_rsatym.

  • Historia przewijania dla większości terminali jest przechowywana całkowicie w pamięci. (Terminale oparte na libvte czasami używają pliku kopii zapasowej w / tmp, ale to albo tmpfs, albo znajduje się na tym samym dysku co ~ / .ssh, w każdym razie ...) Więc staje się nieistotne po zamknięciu terminala. I w każdym razie jest on dostępny tylko dla ciebie, oczywiście.

  • I bardzo często sam klucz prywatny jest szyfrowany za pomocą hasła i jest bezużyteczny, chyba że go odszyfrujesz, gdy o to sshpoprosi.

Chyba że zrobiłeś to oczywiście w obecności kamer bezpieczeństwa o wysokiej rozdzielczości, a nawet wprost pozwoliłeś komuś zrobić zdjęcie twojego okna terminala. W takim przypadku ktoś może przepisać klucz ze zdjęć, a jedyną ochroną będzie hasło szyfrujące.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.