contoso.com
10-07-2013, 10:51
Всем привет!
Как Вы уже могли подумать, разговор пойдет про аутентификацию по ключам при подключении по протоколу ssh к машинам под *nix. А вот и нет. Вы ошиблись.
На самом деле тема является неотъемлемой частью того, что представлено в заголовке.
Планирую отказаться от парольной аутентификации и перейти на использование ключей. В связи с этим несколько вопрсов:
1. Парни, где вы храните открытые ключи? Т.к. предсказать, откуда может понадобиться доступ не возможно, то хранить ключи на рабочей машине не совсем логично. Сам собой навязывается вариант использовать внешнее хранилище и как самый доступный - фрешка. Вот отсюда рождается вопрос номер два.
2. Если машин, к которым надо подключаться несколько, для каждой надо отдельно генерировать ключ или использовать один для всех? Вполне логично использовать для каждого хоста свою пару ключей, но тогда возникает проблема с их именованием. Если, например, использовать схему именования с адресом сервера id_rsa_10.4.0.1.pub, то любой гражданин, заполучив во владение мою фрешку сможет безошибочно определить к какой машине какой колюч соответствует. Если использовать имя, id_rsa_oracle-one.pub, то возникает путаница, особенно если подобных серверов несколько. С произвольными именами, как то одинокий_волк_маккуэйд.pub вообще ерунда.
Собственно в этом и вопрос, как правильно организовать ключехранение, чтобы и волки целы и овцы сыты.
Благодарю!
Как Вы уже могли подумать, разговор пойдет про аутентификацию по ключам при подключении по протоколу ssh к машинам под *nix. А вот и нет. Вы ошиблись.
На самом деле тема является неотъемлемой частью того, что представлено в заголовке.
Планирую отказаться от парольной аутентификации и перейти на использование ключей. В связи с этим несколько вопрсов:
1. Парни, где вы храните открытые ключи? Т.к. предсказать, откуда может понадобиться доступ не возможно, то хранить ключи на рабочей машине не совсем логично. Сам собой навязывается вариант использовать внешнее хранилище и как самый доступный - фрешка. Вот отсюда рождается вопрос номер два.
2. Если машин, к которым надо подключаться несколько, для каждой надо отдельно генерировать ключ или использовать один для всех? Вполне логично использовать для каждого хоста свою пару ключей, но тогда возникает проблема с их именованием. Если, например, использовать схему именования с адресом сервера id_rsa_10.4.0.1.pub, то любой гражданин, заполучив во владение мою фрешку сможет безошибочно определить к какой машине какой колюч соответствует. Если использовать имя, id_rsa_oracle-one.pub, то возникает путаница, особенно если подобных серверов несколько. С произвольными именами, как то одинокий_волк_маккуэйд.pub вообще ерунда.
Собственно в этом и вопрос, как правильно организовать ключехранение, чтобы и волки целы и овцы сыты.
Благодарю!