我可以加密服务器的私密SSH密钥吗？

Question

当为普通用户创建密钥时，有一个选项可以使用3 3DES对称加密私钥。我通常认为这是个好主意，那么即使钥匙被偷了，对攻击者来说也是无用的。

我注意到，在每台运行sshd的机器(至少基于Ubuntu)上，在安装sshd服务器软件/etc/ssh/ssh_host_rsa_key时生成的私钥文件没有使用3 3DES加密。是否有可能强迫sshd使用加密密钥，而不加密整个磁盘？

我认为它类似于使用密钥的方式。如果加密，每次运行apache时，必须输入密码才能解密私钥。sshd有类似的功能吗？

Answer 1

不会有帮助的。一个人从文件中窃取密钥的唯一方法是如果他们能够访问root。如果他们获得了root访问权限，他们可以用记录解密密码的密码替换sshd，或者从正在运行的sshd进程的内存中读取密钥。

因此，无论哪种方式，获得root访问的人都可以很容易地获得私钥。您需要一个物理硬件设备来保存密钥，或者需要一个独立的安全机器来保存它。你不能这样做，并且仍然在同一台机器上处理软件中的密钥。