On 15/10/13 22:02, Victor Wagner wrote: > On 2013.10.15 at 21:01:47 +0400, Eugene Berdnikov wrote: > >> Я понимаю, что у человека может быть несколько пластиковых карточек. >> Но зачем делать себе несколько ключей ssh? > Ну я, например, делаю по отдельному ключу для каждого устройства на > экран которого я могу глядеть (год назад бы сказал "на клавиатуре > которого могу набирать, но теперь у меня есть одно устройство без > клавиатуры). Это облегчает обработку компрометации ключей. Поддерживаю. Есть физическое устройство, файлы которого есть вероятность потерять - отдельный ключ. On 16/10/13 11:45, Eugene Berdnikov wrote: > Сильно облегачает? И как часто? :) Не часто, но если случится - лучше чтобы был путь к отступлению :) > Может, я совсем туп, но плохо представляю, как правильно украсть ключ(и), > даже добравшись до клавиатуры с машиной, на которой запущен ssh-agent. > Теоретически вроде так: нужно чем-то память этого агента прочитать, унести > в укромное место, а потом из мешанины байтов выковыривать нужные. > Занятие, прямо скажем, не для слабых духом... да и телом, наверное, тоже. Не из агента. Умыкнуть файл с приватным ключом проще. Ну и потом у себя в укромном уголке его ковырять. On 15/10/13 22:02, Victor Wagner wrote: > При этом могут быть ситуации, когда на некоторых машинах нет публичных > клюей от всех этих ключевых пар. Например, на всякие рабочие сервера я > вряд ли буду копировать ключи со всех домашних и мобильных устройств. > > Проще уж если приспичило поработать из дома, зайти сначала на рабочую > станцию и загрузить её ключ вторым. Мне удобнее было свалить текущие публичные ключи в один файлик, выложить его на http и дальше говорить wget -O - http://example.com/keys >> ~/.ssh/authorized_keys с любой нужной мне машины. Ключей 3 штуки - рабочая машина, домашняя машина, нетбук. Как минимум до одной я всегда смогу добраться. -- Best regards, Mikhail - WWW: http://www.antmix.ru/ XMPP: antmix@stopicq.ru
Attachment:
signature.asc
Description: OpenPGP digital signature