Аутентификация по ключу SSH на нескольких компьютерах

Я читал об аутентификации по ключу SSH и настраивал ее на своих 3 компьютерах дома.

У меня есть один главный компьютер, назовите его «A», и два других, назовите их «B» и «C».

Теперь, основываясь на документации, которую я прочитал, я бы запустил ssh-keygen на B и C и поместил открытые ключи на компьютер A, предполагая, что всегда буду использовать SSH на компьютере A, если я на B или C.

Но я думаю, что в примерах документации, которые я прочитал, предполагается, что будет использоваться только один домашний компьютер, скажем, с какого-нибудь другого внешнего компьютера. В моей ситуации, имеет ли смысл просто запустить ssh-keygen на одном компьютере и скопировать файлы на другие? Таким образом, мне нужно сделать резервную копию только одного набора ключей? И когда я захожу на внешний компьютер, мне нужно только настроить его с помощью 1 набора ключей, а не настраивать его на всех трех компьютерах.

Имеет ли это смысл? Любые недостатки или предостережения, чтобы рассмотреть?

Спасибо.

Теоретически вы можете сделать оба пути, но у каждого из них есть свои преимущества и недостатки:

Вы действительно можете создать только 1 ключ, сказать, что он «ваш» (как личность), защитить его где-нибудь и скопировать на любой компьютер, который вы используете. Преимущество заключается в том, что вы можете подключаться к A из любой точки мира, если у вас есть закрытый ключ SSH. Недостатком является то, что, копируя свой закрытый ключ из одного места в другое, каким бы то ни было образом, вы увеличиваете риск его чтения кем-то, кто подслушивает соединение. Хуже того, если компьютер C будет украден, вам придется заново создать новый ключ на всех компьютерах, которые используют этот ключ, и распространять новый.

С другой стороны, использование 1 ключа на пользователя @ компьютер имеет преимущество более «точного контроля» над тем, «что» может подключаться «где». Это самый распространенный способ сделать.

Например, если вы хотите передать компьютер C своему брату / сестре / жене / мужу / другу / собаке или вору (без вашего разрешения), вам просто нужно будет удалить ключ из «авторизованных ключей» А файл.

Поэтому, даже если это означает «больше ключей в Authorized_keys», я предлагаю второй подход.

Использование одних и тех же клавиш на всех трех компьютерах определенно выполнимо - я делаю это все время, в основном для удобства.

Квайо правильно указывает, что это увеличивает риск компрометации ваших ключей. Одним из возможных решений было бы разделение компонентов закрытого и открытого ключей. Так:

• На всех компьютерах есть ваш открытый ключ в файле авторизованных ключах.
• Вы храните 2 копии своего закрытого ключа; один находится на USB-накопителе у вас на шее (для использования при использовании ssh для доступа к другому компьютеру), а другой - на USB-накопителе в сейфе (на случай, если вы потеряете первую копию).

Если один из ваших компьютеров будет украден или ваш открытый ключ будет взломан - ну, это просто открытый ключ, ну и что.

Если ваш закрытый ключ будет украден или утерян, вы немедленно приступите к созданию новой пары ключей и обновлению открытых ключей на всех ваших компьютерах.

НТН.