Utilizo ssh-keygen -t rsa
para generar los pares de claves RSA. Veo que en el id_rsa.pub
archivo veo el nombre de usuario y el nombre de host.
Pero quiero saber qué elementos afectarán a los pares de claves. Por ejemplo, si cambio la IP del host, ¿necesito regenerar los pares de claves? ¿Y el nombre de host? o incluso reinstalo el sistema operativo?
¿Cuándo debo regenerar los pares de claves?
Respuesta1
La clave se genera aleatoriamente. No hay nada más especial en su origen que eso. Lo que significa que mientras solo usted tenga la clave privada, no es necesario reemplazarla.
En SSH, una clave de usuario generalmente se usa para identificar una combinación de usuario y sistema de origen. Lo que significa que la clave no se comparte entre usuarios del mismo sistema ni entre el mismo usuario en varios sistemas.
Aunque esto no es una limitación técnica, ya que puedes infringir cualquiera de estas reglas sin problemas. Es simplemente una buena práctica de seguridad.
En una clave pública ( id_rsa.pub
), el último campo es un comentario. El ssh-keygen
comando normalmente coloca su nombre de usuario y nombre de host como último campo. Esto no sirve más que como comentario para identificar la clave. En cuanto a por qué pone nombre de usuario y nombre de host, consulte el párrafo anterior.
Para responder directamente a su pregunta, "¿Cuándo debo regenerar los pares de claves?":
Debe regenerar la clave cuando se haya visto comprometida y potencialmente haya sido obtenida por otra persona. En este momento también debes revocar la clave pública anterior de todos los sistemas remotos que confíen en ella (el authorized_keys
archivo).
Esa es literalmente la única razón. Si reinstala el sistema operativo, cambia el nombre de host, etc., no necesita volver a crear la clave. Aunque puedes hacerlo si quieres.
Respuesta2
Derfc4716Sabemos que el usuario@nombredehost id_rsa.pub
es solo un comentario, no afecta el contenido de los pares de claves.
Creo que el nombre de usuario es uno de los elementos que afecta el contenido porque uso dos usuarios para tener diferentes pares de claves en el mismo host :-)