SSH 密钥不仅可以提高安全性,还可以实现当今企业所需的大规模连接流程、单点登录 (SSO) 以及身份和访问管理的自动化。
什么是 SSH 密钥?
SSH 密钥是安全外壳 (SSH) 协议中使用的安全访问凭证。 SSH 密钥使用基于公钥基础设施 (PKI) 技术(数字身份认证和加密的黄金标准)的密钥对来提供安全且可扩展的认证方法。
由于 SSH 协议广泛用于云服务、网络环境、文件传输工具、配置管理工具和其他依赖计算机的服务中的通信,大多数组织使用 SSH 密钥来验证身份并保护这些服务免受意外使用或恶意攻击。
SSH 密钥不仅可以提高安全性,还可以实现当今企业所需的大规模连接流程、单点登录 (SSO) 以及身份和访问管理的自动化。
SSH 密钥认证与密码
在高层次上,SSH 密钥通过控制访问来起到密码的作用。但这就是相似性结束的地方。数字身份需要强大以防被盗,方便以快速访问且永不中断,并且面向未来,以使企业能够领先于威胁。
密码用于提供一定程度的安全性,但不再像以前那样有效。那是因为不良行为者越来越擅长在通过互联网传输的过程中窃取密码,将它们从存储库中取出,并通过暴力攻击获取它们。
人为因素加剧了这些问题:人们重复使用、共享和不断忘记密码。企业的成本很高,不仅因为数据丢失、中断和信息泄露,还因为密码需要时间输入,需要大量支持资源,并且必须经常重置。
使用 PKI 的加密强度和身份验证方法,SSH 密钥不易受到恶意攻击,并且如果系统或服务器遭到破坏,则不会暴露有效凭据。 PKI 加密技术正在不断改进,以确保身份能够抵御新的和不断发展的威胁。并且 SSH 密钥认证比密码认证更方便。密钥通过启动身份验证和自动授予访问权限将用户和进程连接到服务器,因此用户不必记住或输入每个系统的密码。
公钥和私钥使用
SSH 密钥依赖于使用两个相关的密钥,一个公钥和一个私钥,它们共同创建一个用作安全访问凭证的密钥对。私钥是秘密的,只有用户知道,应该加密并安全存储。公钥可以与用户希望连接的任何 SSH 服务器自由共享。这些密钥通常由组织的 IT 团队管理,或者更好的是,在受信任的证书颁发机构 (CA) 的帮助下,以确保它们的安全存储。
为了创建数字身份,会生成公钥和私钥,并使用强大的公钥加密算法将这对相互关联。用于生成密钥的最常用数学算法是 Rivest-Shamir-Adleman (RSA) 和椭圆曲线数字签名算法 (ECDSA)。
这些算法使用各种计算方法来生成不同长度的随机数字组合,因此它们不能被蛮力攻击所利用。 SSH 密钥的密钥大小或位长有助于确定保护强度。 2048 位 RSA 密钥或 521 位 ECDSA 密钥提供了足够的加密强度来防止黑客破解算法。
身份验证如何使用 SSH 密钥对工作?
SSH 密钥对用于验证想要使用 SSH 协议访问远程系统的用户或进程的身份。用户和远程服务器都使用公钥来加密消息。在远程服务器端,它保存在一个文件中,其中包含所有授权公钥的列表。在用户方面,它存储在 SSH 密钥管理软件或他们计算机上的文件中。私钥仅保留在用于访问远程服务器的系统上,并用于解密消息。
当用户或进程使用 SSH 客户端请求连接到远程服务器时,将启动质询-响应序列以完成身份验证。 SSH 服务器识别出正在请求连接,并使用共享的公钥信息发送加密的质询请求。然后 SSH 客户端解密质询消息并响应服务器。用户或进程必须正确响应要被授予访问权限的质询。这种质询-响应序列在 SSH 客户端和服务器之间自动发生,无需用户进行任何手动操作。
如何创建 SSH 密钥并存储它
在使用 SSH 密钥之前,需要生成一个密钥对。 这可以使用自动证书管理系统执行,也可以由系统管理员手动执行。
可以在最常见的操作系统上手动生成和存储密钥。 在 Windows 系统上,可以使用命令行或 SSH 客户端(如 PuTTy)生成它们。 在 MacO 和 Linux 系统上,它们是使用终端窗口生成的。
以下是生成 SSH 密钥的命令行步骤:
- 输入密钥生成命令 $ ssh-keygen -t rsa
- 输入保存密钥的文件。 通常,密钥存储在主目录或 ~/.ssh/ 目录中(例如 /home/foldername/.ssh/id_rsa 或 /c/Users/username/.ssh/id_rsa)
- 输入可选密码或留空表示无密码。 注意:密码短语为密钥对提供了额外的密码保护层,但用户必须在每次使用密钥对时输入密码短语。
生成配对后,下一步是将公共配对放在远程服务器上。 系统管理员可以使用 ssh-copy-id 命令(例如 $ ssh-copy-id username@IP address)将公钥复制到远程服务器的 authorized_keys 文件中。 或者,您可以使用安全 shell 命令粘贴密钥(例如 $ cat ~/.ssh/id_rsa.pub | ssh username@IP address "mkdir -p ~/.ssh && chmod 700 ~/.ssh && cat >> ~ /.ssh/authorized_keys”)。
SSH 密钥管理
正确的 SSH 密钥管理对组织至关重要,因为这些密钥授予对任务关键型业务系统和数据的访问权限。然而,手动管理它们可能既耗时又容易出错。组织通常在其整个环境中存储数千甚至数百万个 SSH 密钥这一事实使情况变得更加复杂。如果配置、供应和终止策略没有到位并没有积极管理,这些密钥提供的安全性很容易受到破坏。
例如,当不再需要颁发的密钥时,例如员工离开组织时,IT 人员可能会忘记终止密钥。发现此类孤立密钥几乎是不可能的,这会产生公钥和私钥存在于不受严格控制的系统上的风险。如果这些孤立的密钥没有受到保护,它们可能会被恶意行为者窃取,然后他们可以使用仍然有效的凭据来访问您的关键业务系统和数据。
使用 ssh-agent 帮助程序的专用 SSH 密钥管理解决方案可用于供应、配置和终止密钥。使用这些解决方案比手动管理要好得多,但是这种方法需要繁忙的 IT 员工在他们现有的安全和管理解决方案之外使用其他管理工具。相反,IT 团队应该使用自动管理所有基于 PKI 的证书的集中式证书管理解决方案。利用单一的证书管理方法,IT 人员可以在一个仪表板中完成所有关键管理任务。