这可能是一个愚蠢的问题,但无论如何我还是要问:
我已经为我的客户端机器 A 设置了一个 ssh 公钥。我将公钥复制到远程服务器,一切正常,我可以从机器 A 登录。
现在我还想从另一台机器访问该服务器并遵循最佳实践,我想为客户端机器 B 生成另一个密钥,而不是再次使用来自机器 A 的密钥。当然,我可以生成密钥对,但我无法将新的公钥复制到服务器,因为客户端机器 B 无法访问服务器,只有 A 可以。
我目前看到的唯一解决方案似乎是将 USB 记忆棒上的新公钥带到客户端机器 A 并从那里复制到服务器,但是当找到 n 台机器时,这似乎有点乏味且不太实用彼此相距甚远。
这样做的正确方法是什么?
客户端和服务器都运行 Linux。
好吧,您将不得不以某种方式将公钥传输到远程服务器。
但是,由于公钥不是机密的(因此得名),请随意将其复制到 U 盘上,上传到某处,将其放在便条中,等等...
只需确保您在服务器上添加的密钥确实是您从客户端上传的密钥!
我通常通过复制和粘贴来移动 ssh 密钥。但您也可以通过电子邮件、http、netcat 等方式发送它们,它们只是文本。
如果您可以将机器 C 的公钥获取到机器 B 上,则可以从 B SSH 到 A 并安装 C 的密钥
不确定是否有正确的方法,您仍然需要以某种方式访问服务器,并且由于机器 A 目前只是访问点,您仍然需要至少一次物理地获取它以及其他 n 台机器。那么,为什么不将所有公钥收集到 U 盘并将其移动到机器 A 以传播到服务器用户的主 .ssh 配置目录?
如果没有 U 盘,也有一些选项。
变量 #1。临时启用从机器 A 上的服务器上的密码登录。以正常方式从机器 B、C、D 等生成密钥对并将公钥复制到服务器。禁用密码登录服务器。
变量 #2。如果即使临时密码登录也被认为是安全漏洞,请在服务器上创建一个只能访问其主目录的临时用户,仅为该用户启用密码登录。生成密钥对并将 pubkeys 从机器 B、C、D 等复制到服务器到该用户的主目录。Pubkey 不是机密的,它的潜在隐藏被认为是一种安全的情况,但它的欺骗不是,所以你可以考虑以某种方式加密或签名(gpg)。从机器 A 登录到服务器,将 pubkey 传播给服务器的用户,禁用使用的临时用户。
变量 #3。如果 ssh 服务器重新启动不是一个选项,您可以将机器 A 设置为临时 ssh 服务器,并将其用作将 ssh pubkey 复制到真实服务器的中间站。
变量 #4。使用另一个通信渠道(另一个远程服务器,甚至可能是公共的,电子邮件等)。再一次,pubkey 不是机密文件,但请确保签署它们以防止欺骗。