3

他のターゲット マシンにログインし、アクション (ファイルへの書き込み、シェル スクリプトの実行など) を実行する複数のマシンに分散されるサービスを構築しています。

現在、このサービスは、ターゲット マシンへの ssh の認証形式としてユーザー名とパスワードを使用するように構成されていますが、それを機能させるには、ターゲット マシンで追加のブートストラップが必要です。公開鍵/秘密鍵認証モデルに移行したいと考えています。

私の質問は、このサービスは複数のホストに分散されているため、秘密鍵を安全な場所 ​​(たとえば、AWS KMS または同様のサービスを使用) に保存し、各マシンにその安全な場所から読み取らせるのは悪い習慣ですか?マシンごとに秘密鍵を用意する必要がありますか?

4

3 に答える 3

2

マシンごとに秘密鍵を持っている方がよいと私は答えます。

このようにして、秘密鍵が盗まれた場合、すべてのマシンではなく、1 つのマシンのみが侵害されます。

さらに、秘密鍵を保護するだけで済みます。公開鍵は、定義上、公開されています。気が向いたら、公開鍵を Twitter に自由に投稿してください。影響ゼロになります。

于 2016-02-23T00:19:51.730 に答える
1

ブロックチェーンベースの分散型 PKI システム EMCSSH を使用できます: http://emercoin.com/EMCSSH

免責事項: 私はこのシステムの作成者です。どんな質問にもお答えします

于 2016-02-23T00:28:17.000 に答える