¿Por qué Google recomienda eliminar las claves SSH de GCE por seguridad?

15

La siguiente referencia a la documentación de Google ya no es cierta.

Google recomienda eliminar las claves SSH de la instancia de GCE para asegurar SSH. Eso no tiene ningún sentido para mí. Las llaves están ahí para una seguridad, ¿verdad? Cuando quito las llaves, SSHD deja de funcionar. Probablemente extraño su punto. ¿Alguien puede explicar qué significa esto con esto?

Eliminar claves de host ssh

No use claves de host ssh con su instancia. Eliminarlos de la siguiente manera:

rm /etc/ssh/ssh_host_key
rm /etc/ssh/ssh_host_rsa_key*
rm /etc/ssh/ssh_host_dsa_key*
rm /etc/ssh/ssh_host_ecdsa_key*
ssh cloud cloud-computing google-compute-engine hostkey Martin Prikryl
fuente
2
El documento recomienda habilitar StrictHostKeyCheckingy luego recomienda deshabilitarlo. Sospecho que no es un documento editado con mucho cuidado. Mi consejo es que confíes en tu propio criterio y uses las claves del host a menos que haya una buena razón para no hacerlo.
aecolley
@aecolley También lo he notado. Les he enviado un comentario. Veré si vuelven a mí.
Martin Prikryl
1
Lo he explicado a continuación, pero todo se reduce al contexto: la página que está viendo ofrece consejos para crear nuevas imágenes, no para asegurar una máquina en general. Recibiré los documentos actualizados para incluir más detalles sobre cuándo y por qué desea eliminar sus claves de host, ya que los motivos no están claros.
Benson

Respuestas:

12

El detalle crítico es que la página a la que ha hecho referencia es sobre la creación de una nueva imagen de máquina Compute Engine. Específicamente, cuando crea una nueva imagen de máquina virtual, desea asegurarse de que NO incluya ninguna clave de host. De esa forma, cuando la imagen se clona y se reconstituye en una VM real, el script de inicio sshd reconocerá que no hay claves de host y generará automáticamente nuevas. Esto es deseable porque tener varias máquinas usando la misma clave de host es una muy mala idea.

Por lo tanto, en el caso general, no elimine sus claves de host, pero si está creando una nueva imagen, es un paso importante para asegurarse de que exista una relación uno a uno entre las claves de host y las máquinas.

Benson
fuente
1
Gracias. Esto tiene sentido. Aunque alguna explicación ayudaría. "No use claves de host ssh con su instancia". Es realmente una frase confusa.
Martin Prikryl
Estoy totalmente de acuerdo, muchas gracias por señalarlo. De hecho, he enviado una actualización a los documentos para aclarar la redacción que sospecho que se eliminará en breve.
Benson
1
Los documentos actualizados ya están disponibles: developers.google.com/compute/docs/images#removesshkeys
Benson
13

La única razón posible en la que puedo pensar es que quieren forzarte a regenerar nuevas claves.
Como estas claves se generaron antes de tener acceso, es posible que no sean confiables.
Eliminarlos y reiniciar sshdregenerará las claves por usted.
Sin embargo, el documento realmente no deja eso claro.

Esto es pura especulación y sería mejor contactarlos y obtener una aclaración al respecto.

falsificador
fuente
44
Gracias por su respuesta. Necesito ssh al servidor para reiniciar el sshd. Pero para conectarme necesito aceptar la clave de host del servidor "no confiable". Por lo tanto, no puedo confiar en nada de lo que haga durante esta sesión. Incluso el reinicio de la sshd. ¿Derecho?
Martin Prikryl
1
Supongo que la principal preocupación sería que, por alguna razón, otro cliente obtenga las mismas claves que usted (nota: esto no les permite acceder a su instancia, pero hace que sea más fácil atacarlo en el medio). Si no confía en el proveedor de la imagen, entonces no debe ejecutar nada allí (prácticamente tienen acceso físico).
falso el
1
IIRC ha habido algunas investigaciones que muestran que la calidad de la entropía en algunos sistemas, particularmente integrados, pero que también puede incluir algunas categorías de máquinas virtuales recién iniciadas, no es muy alta. Cuando se generan claves públicas en el primer inicio, como las claves de las claves de host SSH, pueden ser predecibles.
HBruijn
@HBruijn Gracias por el comentario. Pero eliminarlos y dejar que sshd los vuelva a crear al reiniciar no los hace mejores. Tendrías que subir el tuyo. Pero eso no está cubierto en el documento.
Martin Prikryl
1
He enviado un comentario a Google. Veré si vuelven a mí.
Martin Prikryl