Bejelentkezés

Személyes_kulcsok_biztonsága

Olvasóink értékelése: 0 / 5

Csillag inaktívCsillag inaktívCsillag inaktívCsillag inaktívCsillag inaktív
 

Személyes kulcsok biztonsága Linux Sysadmin munkaállomásán

 

Írta: Konstantin Ryabitsev – 2017. június 7-én – Linux.com-on

Linux adminisztrátoroknak szóló sorozatunk ezen cikkében kifejtünk néhány javaslatot arról, hogyan gondoskodjunk a személyes kulcsunk (private key) biztonságáról. Ha más biztonsági javaslatok és további olvasmány-források (a Linux biztonságának rejtelmeiről) is érdekelnek, akkor javaslom, hogy töltsd le a „free security guide for sysadmins" könyvünket.

Személyre szabott titkosítási kulcsok, közötte SSH és PGP személyes kulcsok, a Linux munkaállomásod legértékesebb elemei. A támadók nagyon szeretnék megszerezni, mivel azokon keresztül tovább támadhatják a rendszert, vagy felléphetnek nevedben más adminokkal szemben. A linux-rendszergazdának további lépéseket kell tennie annak érdekében, hogy a személyes kulcsot ellopás ellen megvédje:

* erős jelszavakat használni a személyes kulcsok védelmére (Alapvető);

* PGP mesterkulcsot eltávolítható eszközön tárolni (Jó ha van);

* Auth (azonosító), Sign (aláíró) és Encrypt (titkosító) al-kulcsok tárolása chipkártyás eszközön (Ajánlott)

* SSH beállítása úgy, hogy a PGP Auth kulcsot használja ssh személyes kulcsként (Ajánlott)A személyes kulcs jobb biztonságának eljárásai

A személyes kulcs biztonsága elérésének legjobb eljárásai

A személyes kulcs ellopás elleni védelmének legjobb módja, hogy a személyes titkosító kulcsodat intelligens kártyán tárolod és soha sem másolod ki a munkaállomásra. Sok gyártó kínál OpenPGP-képes eszközöket:

* Kernel Concepts, itt mind OpenPGP-képes intelligens kártyát, mind USB- olvasót kaphatsz, ha szükséged lenne ezekre;

* Yubikey, OpenPGP intelligens kártyát csakúgy kaphatsz itt, mint más kiváló eszközt (U2F, PIV, HOTP stb.).

* NitroKey, nyílt forráskódú szoftveren és hardveren alapul.

Nagyon fontos gondoskodni arról is, hogy a mester PGP-kulcsot semmiképpen se tárold a fő munkaállomáson, és csak al-kulcsokat használj. Mester kulcs csak akkor kell. Amikor valaki más kulcsát kell aláírni, vagy új al-kulcsot kell készíteni – olyan műveletek, amik nem túl gyakran fordulnak elő. A mesterkulcs eltávolítható médiára mozgatásának és al-kulcsok készítésének módjára kövesd a Debian „subkey guide”-ját.

Emellett beállíthatod úgy a gnupgp programot, hogy az ssh kezelőként is működjön és intelligens kártyán elhelyezett PGP Auth kulcsot használjon személyes ssh-kulcsodként. Van egy olyan kiadványunk, ami leírja, hogyan csináljuk kártyaolvasó, vagy Yubikey NEO használatával.

Ha nem mennél el eddig, legalább arról gondoskodj, hogy mind a PGP, mind az SSH személyes kulcsod, egyaránt erős jelszót használjon, amivel megnehezíted a támadók dolgát azok ellopása és használata tekintetében.

You have no rights to post comments