Почему Google рекомендует удалять ключи SSH из GCE для безопасности?
Приведенная ниже ссылка на документацию Google больше не соответствует действительности.
Google рекомендует удалить ключи SSH из экземпляра GCE для защиты SSH. Это не имеет никакого смысла для меня. Ключи есть для безопасности, верно? Когда я удаляю ключи, SSHD перестает работать. Я, наверное, скучаю по их мнению. Может кто-нибудь объяснить, что значит под этим:
Удалить ключи SSH хоста
Не используйте ключи SSH с вашим экземпляром. Удалите их следующим образом:
rm /etc/ssh/ssh_host_key rm /etc/ssh/ssh_host_rsa_key* rm /etc/ssh/ssh_host_dsa_key* rm /etc/ssh/ssh_host_ecdsa_key*
2 ответа
Важным моментом является то, что страница, на которую вы ссылались, посвящена созданию нового образа компьютера Compute Engine. В частности, когда вы создаете новый образ виртуальной машины, вы хотите убедиться, что он НЕ содержит ключей хоста. Таким образом, когда образ клонируется и восстанавливается в реальную виртуальную машину, сценарий запуска sshd распознает, что ключей хоста нет, и автоматически генерирует новые. Это желательно, потому что иметь несколько машин, использующих один и тот же ключ хоста, очень плохая идея.
Итак, в общем случае, пожалуйста, не продолжайте удалять ключи хоста, но если вы создаете новый образ, это важный шаг для того, чтобы убедиться, что между ключами хоста и компьютерами существует отношение один к одному.
Единственная возможная причина, по которой я могу придумать, заключается в том, что они хотят заставить вас восстановить новые ключи.
Поскольку эти ключи были сгенерированы до того, как у вас был доступ, им нельзя доверять.
Удаление их и перезапуск sshd восстановит ключи для вас.
Тем не менее, документ на самом деле не проясняет это.
Это чистое предположение, и было бы лучше связаться с ними и получить разъяснения по этому вопросу.