查看所有博客

如何管理 SSH 密钥

网络安全

出版日期： 27 3 月, 2024

写的 Aranza Trevino

编辑的 Anne Cutler

审查了 Darren Guccione

密钥是系统和应用程序用来访问含有高度机密信息的服务和 IT 资源的非人类特权凭证。组织最常用的密钥类型之一被称作 SSH 密钥。虽然 SSH 密钥可以抵御某些网络攻击，但它们可能会因密钥扩散和管理不当而被盗。为安全管理 SSH 密钥，组织需要建立集中的密钥管理系统、启用 MFA、轮或 SSH 密钥、实施最小权限、删除硬编码 SSH 密钥，并定期审核权限。

继续阅读，详细了解 SSH 密钥、SSH 密钥管理、SSH 密钥管理最佳实践，以及如何使用 Keeper 管理 SSH 密钥。

什么是 SSH 密钥？

SSH 密钥是安全外壳协议 (SSH) 的访问凭证。机器使用 SSH 协议在网络上安全地互相通信。身份经过验证后，机器的用户即可访问远程操作系统，远程传输文件并访问网络上的资源。

SSH 密钥由两个密钥组成：私钥和公钥。公钥存储在用户尝试链接的服务器中。私钥存储在用户的机器上，称作客户端。当客户端想要连接服务器时，它请求对自己进行身份验证。服务器会收到请求，并发送一个加密字符串，供客户端使用私钥进行解密。客户端使用私钥解密字符串后，就可以通过安全连接访问服务器。

什么是 SSH 密钥管理，以及它为何重要？

SSH 密钥管理是指用于管理、保护并自动执行从创建到删除的整个 SSH 密钥生命周期的过程、策略和工具。这包括将密钥部署到端点、发起远程会话、轮换密钥，并定期删除不再使用的密钥。 SSH 密钥需要妥善管理，以保护对组织敏感数据的安全访问。如果未经授权的用户获得私人 SSH 密钥，就可以访问组织的网络，并可能导致数据泄漏。

SSH 协议对客户端和服务器之间的流量进行加密。 SSH 密钥自动执行对服务器的安全访问，无需手动输入登录凭证。这样一来，SSH 密钥就不会在传输过程中被盗，也难以被暴力攻击破解。然而，组织可能会遇到密钥扩散问题，因为组织中的密钥数量过多，多到难以管理和追踪。这可能会导致密钥被未经授权的用户放错并滥用。未经授权的用户访问组织的网络后，即可获得更高的权限，并窃取组织的机密数据。

SSH 密钥管理最佳实践

SSH 密钥提供对组织网络和敏感数据的访问。组织需要妥善管理 SSH 密钥，以确保它们不会落入未经授权的用户手中。以下是 SSH 密钥管理的一些最佳实践。

确立集中式密钥管理

密钥管理是指组织、管理并保护 IT 基础架构密钥的过程。通过密钥管理，组织可以安全地存储、传输和审核密钥，以保护其敏感信息，并确保其正常运行。如果没有集中式密钥管理流程，SSH 密钥等很容易出现管理不善问题。每个用户都可能以不同的方式管理其 SSH 密钥，通常会将私钥留在未加密的位置，如硬编码在应用程序或文件内。

组织需要确立一个集中式密钥管理系统，以确保每个人都能妥善管理密钥。集中式密钥管理系统有助于组织识别并审核其所有密钥，消除密钥扩散和凭证硬编码问题。组织可以将其密钥妥善存储在加密位置，如密钥管理器。

执行MFA

多因素身份验证 (MFA) 是一种安全协议，要求用户提供额外身份验证因素，才能获得访问权限。组织应对 SSH 密钥有访问权限的用户启用 MFA，为其网络添加额外一层安全保障。当用户尝试将其客户端机器连接到服务器时，它们需要提供额外的身份验证方式，以及密码或两步验证码等私钥。

轮换 SSH 密钥

SSH 密钥轮换是指定期删除 SSH 密钥并部署新密钥对的过程，以防 SSH 密钥被盗和权限被滥用。公钥和私钥都必须进行轮换。轮换 SSH 密钥可确保它们的有效期有限，用户使用它们的时间也有限。它可以确保未经授权的用户无法使用先前或忘记的 SSH 密钥访问组织的网络。

实行最小权限访问原则

最小权限访问是一个网络安全概念，为用户和机器提供完成工作所需的对组织敏感资源网络的足够访问权限，仅限于此。组织需要实行最小权限原则，以确保只有获得授权的用户才能访问 SSH 密钥。最小权限访问将可以访问 SSH 密钥的用户数量仅限于需要他们的人。它有助于减小组织的攻击面，并防止在网络内的横向移动。

删除硬编码 SSH 密钥

组织通常将其 SSH 存放在不安全的位置，如以明文格式硬编码在应用程序或文件中。这样一来，网络犯罪分子就可以利用安全漏洞，并利用恶意软件窃取 SSH 密钥，并获得对组织网络的未经授权的访问。组织需要删除硬编码 SSH 密钥，并将其转移到加密位置，如密钥管理器。

定期审核特权

为确保密钥管理策略的强制执行，组织需要定期审核权限。它们需要确保正确的用户有权访问它们需要的 SSH 密钥，并移除不再需要访问它们的任何用户。当用户拥有比自己所需更高的访问权限时，定期审核权限有助于防止特权蠕变。特权蠕变往往会导致威胁行为者的横向移动或内部威胁对特权的滥用。

使用 Keeper 管理组织的 SSH 密钥

SSH 密钥提供对组织资源网络的访问权限，如机密数据和系统。这些资源需要得到保护，以防网络犯罪分子入侵组织。管理 SSH 密钥的最佳方式是使用密钥管理工具。密钥管理工具是一个安全的存储系统，用于存储 IT 基础架构中使用的特权凭证、SSH 密钥及其他密钥。

Keeper 密钥管理器® (KSM) 是一种零信任和零知识密钥管理工具，支持您在一个集中式加密为止管理所有密钥。借助 KSM，您的组织可以将密钥集成到您的 IT 基础架构中，自动执行密钥轮换，管理对密钥的访问，并删除硬编码密钥。

请求演示

Aranza Trevino

作者： Aranza Trevino

Aranza Trevino 是 Keeper Security 的高级 SEO 内容专家。她是一位经验丰富的网络安全趋势和数据分析师，通过她的博客努力不断获取行业知识以教育读者。Aranza 的博客旨在帮助公众和企业更好地了解密码管理、密码安全和防范网络威胁的重要性。Aranza 拥有理学学士学位，毕业于德保罗大学数字营销专业。