最近IETF (Internet Engineering Task Force )发布了一个用于管理SSH密匙的建议草案。
在大型机构中,会使用成千上万的SSH密匙用于企业各种目的的日常访问,有的是用于程序的,有的是用户的;有网络管理用得,有用户存取数据用的。没有一个很好的管理计划和工具,这些被不正当使用的密匙就有可能成为网络的一个潜在危险,正如该文前言所说的:"管理不善的SSH密钥面临各种威胁,包括病毒的传播,未经审计的后门,非法获取使用泄露的密钥,缺乏适当的终止访问手段,合法访问但用于非本意的目的,和意外的人为错误。"等等。
该文为就是为了能够很好的解决企业面临的这些问题的一个建议草案,用于自动化地管理SSH密匙的存储,用户,期限,废除等等。该草案说:“该过程包括移动授权密钥到受保护的位置,删除未使用的密钥,授权密钥相关联的业务流程或应用程序和删除键,发现非法目的的使用,现有密钥的循环交替,限制什么可以做,每一个授权密钥,并设立审批新的授权密钥。”
虽然是关于自动化管理的,但是该文没有提供一个现有的或者是如何实现自动化软件的架构,基于这个文档是一个建议草案的考虑,这一点可以理解,不过它给出了一些建议,关于在考虑购买或者实施一个管理方案的时候,从哪些方面来考察管理软件是否适合自己的环境。
注意,该文档的有效日期到2013年10月6日为之,届时应该有更新版本出现。
该文主要章节如下:
- 介绍
- SSH协议基础和实施
- SSH密匙管理不善所产生的威胁
- SSH密钥管理的现状及风险评估
- 密匙整治方案的规划和部署
- 连续监控和SSH密钥的管理和自动访问
- 政策建议
- 软件工具的考虑
- 安全考虑
具体参考下面的原文。
Managing SSH Keys for Automated Access - Current Recommended Practice