SSH: Несколько или единственный закрытый ключ?
Корректна сетевая маска для 10.8.0.0 маршрутов? Из того, что я вижу здесь, я думаю, что Вы хотели бы 255.255.0.0 вместо 255.255.255.255. Какой VPN Вы используете?
Править: Что делает таблицы маршрутизации на рабочих машинах показывают при выполнении той же процедуры?
Ключи SSH аналогичны физическим ключам. В некоторых ситуациях имеет смысл иметь один общий ключ для всех замков. В других случаях это не так. Только вы делаете эту оценку применительно к вашей конкретной ситуации.
Это зависит от обстоятельств. Учитывая, что вы можете защитить закрытый ключ паролем, если вы используете достаточно надежный пароль и защищаете закрытый ключ, то использование одного и того же ключа на всех машинах может работать нормально. С другой стороны, я обычно использую несколько уникальных ключей для систем, относящихся к одной и той же категории риска. Например, я использую ключ для производственного сервера, который храню на зашифрованном USB-накопителе. Я использую разные ключи для машин разработки и тестирования. Кроме того, я не использую ключи ssh для предоставления доступа root, а скорее для доступа к моей учетной записи.
Последствия для безопасности первого метода заключаются в том, что если ключ скомпрометирован (т.е. злоумышленник получит доступ как к ключу, так и к паролю), то тогда злоумышленник может иметь удаленный доступ ко всем системам. Поскольку повышение привилегий намного проще с любым доступом к системе, есть s больший риск с вариантом 1, чем с вариантом 2. Однако вариант 2 обеспечивает лучшую безопасность / меньший риск только в том случае, если вы защищаете пароль и закрытый ключ.
Перейти к # 1. Дополнительная сложность # 2 дает очень мало преимуществ (особенно если вы шифруете свой закрытый ключ с помощью надежной парольной фразы).
Кроме того, я должен отметить, что я всегда рекомендую зашифровать ваш закрытый ключ и каждую машину для подключения должна быть своя собственная пара ключей. Таким образом, если одна из ваших рабочих станций будет взломана, утеряна и т. Д., Вы можете просто выдернуть открытый ключ этой машины со своих серверов, и это не нарушит доступ с остальных ваших рабочих станций.
Я бы сгенерировал ключ на каждой рабочей станции Windows и машине разработки Debian. Используйте парольные фразы. Опубликуйте ключи к машинам Debian и производственному серверу CentOS.
Инструмент замазки ключей "PuTTYgen может также экспортировать закрытые ключи в формате OpenSSH и в формате ssh.com. Для этого выберите один из параметров" Экспорт "в меню" Конверсии ". Экспорт ключа работает точно так же, как сохранение это (см. раздел 8.2.8) - вам необходимо заранее ввести парольную фразу, и вы будете предупреждены, если собираетесь сохранить ключ без парольной фразы. "
http://the.earth.li/ ~ sgtatham / putty / 0.58 / htmldoc / Chapter8.html # pubkey-puttygen