管理 ssh 密钥并定期轮换是保障服务器安全的关键措施。1. 遵循使用密钥登录、禁用密码认证、为每个用户/设备生成独立密钥对、集中管理 authorized_keys 文件、限制密钥用途等基本原则;2. 实施密钥轮换时,应制定周期性(每3~6个月)和事件驱动(如人员变动、设备丢失)的策略,标记密钥信息,并按步骤生成新密钥对、部署新公钥、验证登录、移除旧密钥、清理旧私钥;3. 提升效率可使用 ssh 配置文件管理连接、采用 ssh 证书认证实现自动化管理、定期审计与监控密钥使用情况、并对私钥进行安全备份。必须建立规范流程并坚持执行,结合定期审查与自动化工具以降低人为疏漏风险,确保服务器长期安全稳定运行。
管理 SSH 密钥和定期进行密钥轮换是保障服务器安全的重要措施。随着权限人员变动、设备更换或潜在泄露风险增加,及时更新和清理旧密钥能有效降低未授权访问的风险。以下是关于 SSH 密钥管理和轮换的实用建议。
使用密钥而非密码登录
禁用密码登录,强制使用 SSH 密钥认证,能显著提升安全性。在
sshd_config
PasswordAuthentication no PubkeyAuthentication yes
为每个用户/设备生成独立密钥对
避免多人共用同一对密钥。每个用户应使用自己的密钥,并通过
~/.ssh/authorized_keys
集中管理 authorized_keys 文件
可使用配置管理工具(如 Ansible、SaltStack、Puppet)统一维护服务器上的授权密钥,避免手动修改导致遗漏或错误。
限制密钥用途(可选)
在
authorized_keys
command="backup-script",no-port-forwarding,no-X11-forwarding,no-agent-forwarding ssh-rsa AAAAB3...
这样可以限制密钥只能执行特定命令,减少滥用风险。
密钥轮换是指定期或在特定事件触发下,替换旧的 SSH 公钥和私钥。常见触发场景包括:员工离职、设备丢失、密钥使用时间过长(如超过 90 天)、怀疑密钥泄露等。
user@host-date
步骤 1:生成新密钥对
ssh-keygen -t ed25519 -C "user@new-laptop-2025" -f ~/.ssh/id_ed25519_new
推荐使用 Ed25519 算法,安全性高且性能好。
步骤 2:将新公钥部署到目标服务器 将新公钥添加到服务器的
~/.ssh/authorized_keys
ssh-copy-id -i ~/.ssh/id_ed25519_new.pub user@server
或通过自动化工具批量推送。
步骤 3:验证新密钥可用 使用新私钥尝试登录:
ssh -i ~/.ssh/id_ed25519_new user@server
确保能正常登录后再进行下一步。
步骤 4:移除旧密钥 登录服务器,编辑
~/.ssh/authorized_keys
步骤 5:本地清理旧私钥 确认无误后,删除本地旧私钥文件,避免误用。
使用 SSH 配置文件(~/.ssh/config)
为不同服务器配置别名和指定密钥,避免混淆:
Host myserver
HostName 192.168.1.100
User deploy
IdentityFile ~/.ssh/id_ed25519_prod结合证书认证(高级用法)
对于大规模环境,可搭建 SSH CA(证书颁发机构),签发短期有效的 SSH 证书,实现自动过期和集中吊销,替代传统密钥管理。
审计与监控
authorized_keys
备份与恢复 私钥应安全备份(如加密存储于密码管理器或硬件密钥中),避免因设备损坏导致无法访问服务器。
基本上就这些。关键在于建立规范流程并坚持执行,尤其是密钥轮换不能只停留在计划层面。虽然操作不复杂,但容易被忽视,定期审查和自动化能大幅降低人为疏漏风险。
以上就是如何管理ssh密钥 密钥轮换的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告
收藏
收藏
收藏
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
831
