一般过程是生成一对公钥和私钥,并将公钥上传到服务器进行SSH连接。
那么,如果我必须pipe理大量的服务器,我是否应该:
要么
我个人认为,从安全的angular度来看,第一select是足够好的。 我对么?
谢谢。
一般的答案是,你可能会想要在你想login的所有服务器/帐户上放置相同的个人公钥。 对于所有的实际目的来说,从相应的公共部分获得私人密钥或多或less是不可能的。
然后有一堆潜在的例外。
尽pipe保护私钥密码通常是一个很好的规则,在执行某些自动化任务时可能不太可行。 为了这个目的,你可能也希望有一个单独的密钥对和一个未encryption的私钥,用于那些特定的(有希望受限的)帐户。
假设你主要连接到现代服务器,你的个人ssh密钥可能是ed25519types。 然后,出于兼容性的原因,您可能需要使用RSAtypes的辅助密钥对才能login到运行旧版本OpenSSH的服务器。 除了在这种情况下,RSA可能已经足够好了。
如果您使用ssh代理转发很多,使用单独的密钥对在理论上是有益的,从而限制了恶意服务器可能造成的损害。 除此之外,我认为这在实践中很快变得混乱。 可能更好,然后简单地远离代理转发。