¿Debo hacer una copia de seguridad de mis claves de host SSH?

8

En mis copias de seguridad automáticas, no estoy seguro de si debería estar haciendo esto. Si el disco duro falla o si borro el disco duro y comienzo de nuevo, ¿cuál será el efecto de comenzar con una nueva clave de host SSH para mis clientes? ¿Tendré que hacer algo especial que no sea eliminar el nombre del host del known_hostsarchivo de cada cliente ? ¿Qué es lo mejor que se puede hacer en este caso? Estoy planeando limpiar mi computadora y comenzar desde cero en los próximos días.

ssh security backup openssh Naftuli Kay
fuente

Respuestas:

10

Si está reinstalando el sistema operativo en su computadora, pero considera que sigue siendo la "misma" computadora, debe hacer una copia de seguridad de la clave privada SSH y restaurarla después de la instalación. Si está reutilizando el mismo hardware para crear un sistema diferente, debe generar una nueva clave para el nuevo sistema. Decidir si sigue siendo la misma computadora es una decisión semántica, así que depende de usted; restaurar o regenerar la clave SSH es la implementación de esta decisión.

Si eres la única persona que accede a esa computadora, no importa mucho. Si tiene otros usuarios, cambiar la clave SSH causará problemas:

  • Los pocos usuarios conscientes de la seguridad y conocedores se preocuparán de que algo malo esté sucediendo y tratarán de contactarlo fuera de banda para advertirle que pueden estar bajo ataque.
  • Los pocos usuarios que tienen conocimientos pero no son tan paranoicos eliminarán la antigua clave SSH para deshacerse del mensaje de error y se quejarán acerca de que el administrador del sistema cambie la clave.
  • La mayoría de los usuarios que ignoran los mensajes solo verán que no pueden conectarse y pueden contactarlo para obtener ayuda.
Gilles 'SO- deja de ser malvado'
fuente
¿Cómo puedo hacer una copia de seguridad de la clave privada ssh? Estoy planeando hacer una nueva instalación del sistema
operativo
@Lykos Es solo un archivo (un archivo por algoritmo, en realidad, y también hace una copia de seguridad del archivo de clave pública por conveniencia, incluso si pudiera reconstruirse desde el archivo de clave privada). Generalmente ubicado en /etc/ssh_host_*_key*o/etc/ssh/ssh_host_*_key*
Gilles 'SO- deja de ser malvado'
No estoy seguro si entiendo correcta, pero yo puedo hacer cat ~/.ssh/id_rsa.puby cat ~/.ssh/id_rsa.puby copiar el contenido de un archivo txt como una copia de seguridad?
ltdev
@Lykos Estas son claves públicas de usuario, que no tienen nada que ver con esta pregunta en particular. No sé qué quieres hacer, pero generalmente lo más importante es hacer una copia de seguridad de las claves privadas. No confunda las claves de host y las claves de usuario (estoy seguro de que tenemos una pregunta o tres sobre el tema).
Gilles 'SO- deja de ser malvado'
2

A menos que un mundo de personas se conecte a su sistema además de usted y desee que el cambio en su servicio sea lo más ininterrumpido posible, probablemente sea mejor que cree nuevas claves de host. Si limpia un sistema y comienza desde cero, realmente no es el mismo sistema que era antes y sus clientes ssh tendrán razón al querer notificarle que el sistema ha cambiado. Si no tiene ningún bloqueo loco en efecto si no puede conectarse a nuevos hosts, esto debería ser una cuestión fácil de actualizar el archivo de hosts conocidos.

Caleb
fuente