将安全备份需求降低到单个密钥文件。
一旦使用两个或三个以上的SSH密钥,管理它们就会变得更加复杂。在本文中,我将解释如何使用控制文件管理多个SSH密钥,以及如何进行更改以将其作为GPG身份验证子项进行管理。我还将展示如何识别GPG身份验证密钥,以防它们随着时间的推移而累积并且你没有记录笔记。
为什么有多个SSH密钥?
考虑像物理钥匙一样的SSH密钥,将看到拥有多个密钥的原因。你不希望你的车和你的房子用同一把钥匙。如果你的钥匙被盗,小偷可以使用所有东西。就像你的汽车和房子一样,你可能想要为每个项目用例分别设置密钥,就像生活中一样。
当你为客户工作时,拥有多个密钥也很有用。有些客户可能会给你一个特定的密钥,而其他客户可能会要求你在项目结束时交出所有帐户,密码和密钥。
SSH如何管理多个密钥?
一旦你有多个SSH密钥,就会发现你需要在你的〜/.ssh/config中添加IdentifyFile行来获得SSH,以便为正确的服务器提供正确的密钥。这是因为大多数服务器仅在几次SSH密钥尝试后才会断开连接。我有七个密钥,所以我绝对需要这个。
例如,此条目指定当我在Fedora项目中使用计算机时,我的用户名是“bex”,我希望使用我的Fedora SSH密钥。引用的文件是私钥文件。
Host *.fedoraproject.org User bex IdentityFile ~/.ssh/fedora_id_rsa
如果没有IdentifyFile关键字,SSH将只是连续尝试每个密钥。
教SSH以管理多个GPG身份验证密钥
使用GPG验证SSH时,你不再拥有私钥文件。因此,上面的配置将不再起作用。为了使其工作,你必须做一些不同的事情来识别应该使用的密钥。值得庆幸的是,SSH提供了一种解决方法:你可以在IdentifyFile行上引用公钥。
只需修改〜/.ssh/config即可引用正确的公钥。通常,这就像在每个IdentifyFile行的末尾添加pub一样简单。不要忘记确保将公钥文件设置为仅用户可读。
这意味着你需要拥有可用于身份验证密钥的公钥文件。如果你没有保存它们(或之前有它们),你可以从ssh-add -L命令获取指纹。
标识特定的身份验证子项
一旦创建了多个身份验证子密钥,就希望能够识别它们,以便你可以将正确的公钥提供给正确的服务器并生成正确的IdentifyFile条目。不幸的是,GPG不支持子键的注释或名称。因此,你只能从gpg2命令获取关键哈希和夹点的列表,以及来自ssh -add的一组无与伦比的私有和公共指纹。
有两种方法可以识别你的密钥。你可以从SSH公钥指纹开始查找GPG keygrip,也可以从GPG子项哈希开始查找SSH公钥指纹。
SSH公钥指纹到GPG keygrip
首先找到要识别的公钥指纹。可以通过运行ssh -add -L来完成此操作。此示例适用于第一个指纹。将公钥指纹保存到文件,下一步需要这样做。
$ ssh-add -L | head -1 > key
现在需要SSH指纹的MD5格式,可以从ssh-keygen获取该格式。
$ ssh-keygen -l -E md5 -f key2048 MD5:9e:98:82:87:5d:a4:fe:e3:8a:9c:db:aa:59:5b:30:ac (none) (RSA)
将MD5 SSH指纹与密钥匹配,如gpg -agent的keyinfo命令所示。
$ gpg-connect-agent ‘KEYINFO –list –ssh-fpr’ /bye | fgrep9e:98:82:87:5d:a4:fe:e3:8a:9c:db:aa:59:5b:30:acS KEYINFO 9EEA76057C168686EAE8B807845326D7F60FB1C4 D – – – PMD5:9e:98:82:87:5d:a4:fe:e3:8a:9c:db:aa:59:5b:30:ac – –
这将返回多个数据字段。重要的是第三个元素,即GPG keygrip。从这里,使用gpg2 -K –with-keygrip很容易识别你的特定身份验证子项。
GPG子键哈希到SSH公钥指纹
首先找到要识别的键的子键哈希。可以通过运行gpg2 -K –with-subkey-fingerprint来完成此操作。
$ gpg2 -K –with-subkey-fingerprint…ssb rsa2048 2019-03-16 [A] 941BE28372F6759AB7073766E0A70B46BA68E808
将其转换为公钥指纹非常简单; 再次使用gpg2。
$ gpg2 –export-ssh-key 941BE28372F6759AB7073766E0A70B46BA68E808ssh-rsa AAAAB3NzaC1yc…MQJ3FK3 openpgp:0xBA68E808
你会注意到此输出中有一个注释openpgp:0xBA68E808。在所有情况下都不能保证这一点,因为它取决于使用GPG的确切方式。如果你的输出包含它,则可以轻松识别GPG密钥和SSH指纹关系;但是你不应该依赖它总是可用的。
我鼓励你考虑记录.gnupg /sshcontrol文件中的关系或公钥文件中的注释。
结束
现在,你已准备好使用经过GPG身份验证的SSH会话访问世界上的每个服务器。你可以管理多个密钥,并在需要时识别它们。你已将安全备份需求减少到单个密钥文件,可以使用该文件来解锁或解密其他所有文件。
原文链接:
https://opensource.com/article/19/4/gpg-subkeys-ssh-manage