Asked Jul 25th, 2023 12:17 a.m. 380 0 6
  • 380 0 6
0

Nên dùng một hay nhiều SSH Key để truy cập từng máy chủ? Tại sao?

Share
  • 380 0 6

Mình có một thắc mắc khá lâu mong mọi người cùng thảo luận.

Ví dụ, mình có một laptop và tạo 3 máy chủ server 1, server 2 và server 3. Để SSH từ laptop của mình vào 3 server này, mình có thể tạo 1 hoặc 3 SSH Key:

  1. Trường hợp 1
    • Mình chỉ tạo một SSH Key duy nhất là id_rsa.pub và thêm nó vào cả 3 server 1, server 2 và server 3.
  2. Trường hợp 2
    • Mình tạo SSH Key id_rsa_sv1.pub và thêm nó vào server 1
    • Mình tạo SSH Key id_rsa_sv2.pub và thêm nó vào server 2
    • Mình tạo SSH Key id_rsa_sv3.pub và thêm nó vào server 3

Theo các bạn, mình nên làm theo cách nào? Tại sao làm như vậy?

Mình xin cảm ơn!

6 ANSWERS


Answered Jul 26th, 2023 12:12 p.m.
+5

Giống như việc bạn sử dụng chung 1 password cho tất cả các mạng xã hội, ví điện tử, banking, .... Rất nguy hiểm khi nền tảng nào số đó bị lộ mật khẩu, Vì vậy mình nghĩ tốt nhất nên tạo riêng cho mỗi server 1 ssh key.

Share
Answered Jul 30th, 2023 11:30 a.m.
+1

có nhiều cách tiếp cận khác nhau mà mình dùng cho phù hợp ví dụ cách sau mình hay làm:

  • Block toàn bộ ip truy cập ssh máy chủ, chỉ cho 1 list ips là được quyền connect
  • 1 key ssh vào 1 máy chủ sau đó login từ máy chủ này sang các máy con.

Hoặc dùng terminus lưu 1 mớ password trên cloud, password thì random luôn khỏi nhớ chi cho mệt,

Share
Answered Aug 3rd, 2023 2:35 a.m.
+1

Tạo riêng để lúc phải bàn giao công việc an toàn cho mình.

Share
Answered Jul 28th, 2023 7:52 a.m.
0

bạn thử theo cách. ssh vào sever 1 rồi từ con 1 ssh vào 2 con còn lại xem

Share
Answered Jul 30th, 2023 1:00 p.m.
0

Mình thấy đơn giãn nhất mỗi vps làm một public key riêng là an toàn nhé. Bạn đâu có phải nhớ key đâu mà lo tạo nhiều.

Share
Answered Aug 31st, 2023 3:42 a.m.
0
  • Chạy trường hợp 1: Dùng 1 cặp private key + publickey là được, publickey để trên server, chẳng may server đó bị tấn công thì cũng không ảnh hưởng private key bác trên nói việc lộ password của các nền tảng khác nhau chẳng liên quan gì khi đây là cơ chế cặp key.

  • Không nên chạy Trường hợp 2 thì sẽ sinh ra nhiều key làm khó quản lý, đẩy vào agent sẽ làm mỗi lần đăng nhập mất thời gian hơn vì phải thử từng key, hệ thống nào làm chặt khéo còn chặn luôn vì fail nhiều lần. Và nhiều privatekey cũng không hề bảo mật hơn khi bạn lưu nó trên cùng 1 máy của bạn. Máy bạn bị tấn công thì mất hết chứ chẳng lẽ chỉ mất 1, 2 key

Chốt: Quan trọng là giữ cái privateKey duy nhất thật an toàn, không đưa lên bất kỳ nền tàng nào, không share key với mọi hình thức. Cá nhân mình vứt vào KeePassXC rồi cho nó tự đẩy vào agent luôn.

Share
Viblo
Let's register a Viblo Account to get more interesting posts.