我应该在每个系统上创建一个新的私有ssh密钥吗？

Question

我需要通过SSH从多个设备连接到多个服务器。我想知道是否应该在我正在连接的每个设备上创建一个新的id_dsa文件，或者是否存在将相同的id_dsa文件复制到每个设备上的问题。

例如，我有一个主要的基于Ubuntu的桌面系统和一个带有ssh的MacBook Pro。我有一个安装了Putty的基于Windows的上网本。我有一部带有ConnectBot的安卓手机。从这些设备中的任何一个，我可能需要SSH进入数十个不同的物理和虚拟服务器。

每个服务器都需要安装我的公钥。而且，我的GitHub和Codaset帐户需要我的公钥。

为了简化密钥管理，我考虑在所有这些系统上使用相同的私钥。这是一种常见的做法，还是在每个系统上都有一个私钥更好？

Answer 1

你绝对应该这么做。您可以始终将所有密钥添加到authorized_keys2文件中。我喜欢jeffatrackaid的建议。但是，我会为每个设备使用不同的私钥--为什么不呢？失去你的机器人。简单地，从授权密钥列表中删除密钥。如果你不这样做，你将不得不重新生成那个级别的密钥。

也就是说，这取决于你如何看待这些资产的风险。很明显，您不希望丢失密钥，但有些密钥可能会暴露在更大的风险中，例如，github相对于vps的根。

Answer 2

您还记得Debian在生成SSH密钥时有那么小的熵问题吗？就在那时，我很好地吸取了教训。

我有自己的私钥(S)作为我自己的东西，比如进入我的个人服务器。我有我的“万能”钥匙，它能让我进入我的大部分开发箱，然后在我服务的每个客户端削减键。

我还保存了一个非常详细的清单，什么钥匙是在什么机器上，以防万一我不得不更换或删除它们在匆忙。

对于其他严重的问题，我只需使用LDAP / PAM，以防不得不匆忙移除其他人。