我們現有的 GNU/Linux 中的無密碼身份驗證機制是在客戶端中建立 ssh-keygen 並將客戶端的公鑰複製到伺服器,並且伺服器可以在沒有密碼的情況下從客戶端進行身份驗證。
我的問題是,
我們可以透過將伺服器的公鑰放在客戶端來在伺服器(我們希望在沒有客戶端密碼的情況下連接)中產生金鑰對,而不是在客戶端建立金鑰對嗎?
如果我們可以做到這一點,任何人都可以解釋一下程式是什麼?
答案1
簡短回答
不。
長答案
您可以使用一些公開資訊(公鑰)來證明您的原因。另外。你不能使用伺服器金鑰:你就是你,它就是伺服器。
公鑰可以安全地被全世界所知。您的伺服器會將其公鑰告訴任何詢問的人。
更長的答案
但是,如果我試著解構你想做的事情。我看到您正在努力讓管理變得更容易。那你有什麼選擇呢?
- 獲取所有用戶公鑰並將其複製到伺服器。它們可以全部存入一個帳戶,也可以存入多個帳戶。
- 為所有用戶提供相同的私鑰。 (這可能是您想要想到的。)這樣伺服器就擁有一個公鑰。然而,沒有辦法區分用戶。現在有一種方法可以撤銷金鑰(如果使用者遺失了金鑰),而無需為所有人撤銷金鑰。
- 讓系統管理員為使用者建立公鑰和私鑰。然後,您必須安全地向使用者取得私鑰(例如,將筆記型電腦帶到 IT 支援辦公室,並安裝金鑰)。使用者將此金鑰用於任何其他目的也是不安全的(因為您不應該相信 IT 支援人員以及與他們無關的東西)。