Секретный ключ UNIX SSH
Копировать изman fstab
The fifth field (fs_freq).
This field is used by dump(8) to determine which filesystems need to be dumped. Defaults to zero
(don't dump) if not present.
The sixth field (fs_passno).
This field is used by fsck(8) to determine the order in which filesystem checks are done at boot
time. The root filesystem should be specified with a fs_passno of 1. Other filesystems should have
a fs_passno of 2. Filesystems within a drive will be checked sequentially, but filesystems on dif‐
ferent drives will be checked at the same time to utilize parallelism available in the hardware.
Defaults to zero (don't fsck) if not present.
Срочно $0,02, потому что мне нужно собраться на работу:
Если предположить, что этот сервер не защищает настоящие банки или уровень секретности -национальной безопасности, все в порядке.
Единственный потенциальный риск, который я могу себе представить, заключается в том, что если враждебная третья сторона перехватит достаточное количество этих закрытых ключей и точное время их создания, они смогут использовать это для предсказания состояния и алгоритма случайного числа сервера. генератор, который может быть полезен в некоторых очень сложных атаках.
... Конечно, если они могут перехватить такое количество ваших секретных ключей, у вас уже гораздо большие проблемы .
Безопаснее всего позволить клиенту сгенерировать пару ключей и использовать доверенный канал для отправки вам открытого ключа для включения в authorized_keysфайл, но если это не по какой-либо причине, ваша главная забота будет заключаться в том, как безопасно передать закрытый ключ получателю и только предполагаемому получателю.
Чтобы разрешить доступ по ssh/scp/sftp, вы можете использовать пару открытый/закрытый ключ.(*)
Если вы сгенерируете и установите такую пару, вы будете контролировать, кто будет получать доступ к определенной части вашего сервера (в вашем каталоге sftp ).
Если у вас есть два или более клиента/партнера, обязательно сгенерируйте по одному ключу для каждого партнера.
Таким образом, клиент1 получит доступ к части клиента1. Если установлено правильно (**), закрытый ключ клиента1 не будет иметь доступа ни к файлам клиента2, ни к какой-либо другой части сервера.
- (*)предполагая, как отметил Шадур, что трансферт безопасен от посторонних глаз.
- (**)по возможности используйте chroot (это зависит от вашей структуры каталогов ).
Как отмечено в моем (удаленном )комментарии, это также вопрос доверия со стороны клиента, но это должно быть нормально,клиент уже доверяет вам свой файл.
Ваш клиент должен сгенерировать свои собственные ключи и защитить их парольной фразой , а затем предоставить вам свой открытый ключ для хранения на сервере, которым вы управляете, и которым им необходимо получить доступ. Их закрытый ключ никогда и никому не должен передаваться, и он должен быть зашифрован (, то есть защищен парольной фразой ).