SSH: Вы используете одну частную/с открытым ключом пару для каждой удаленной машины? Или единственная пара для всех?

Открытый ключ не имеет значения очень, с тех пор, по определению, он может быть разглашен. Таким образом, единственной проблемой является конфиденциальность Ваших закрытых ключей. Они находятся на Вашей собственной машине и всех вместе, поэтому если Вы скомпрометированы, вероятно, что они все будут скомпрометированы. Поэтому несколько пар ключей являются просто большим количеством работы для того же эффекта.

Единственное время я использовал бы различные ключи, для различных учетных записей или различных ролей, которые по определению не должны иметь полного перекрытия в доступе.

Если я понимаю правильно, каждый сервер будет иметь свой собственный открытый ключ.

Для данного пользователя можно генерировать один ключ и использовать его везде, пока закрытый ключ копируется через во все хосты инициирования. (Это произошло бы автоматически с помощью смонтированных сетью корневых каталогов и основанной на каталоге системы аутентификации, таких как OpenLDAP, так как пользователь всегда будет "тем же" независимо от того, от какой рабочей станции они входят в систему.)

За пределами основанной на каталоге пользовательской системы я думаю, что это - Плохой Idea™ для использования тех же ключей везде - Вы заканчиваете с сетевым сокращением безопасности системы как любой, кто может добраться, ключ от любой из рабочих станций может затем пройти проверку подлинности как тот пользователь к удаленному серверу.

Другая альтернатива, emplyed несколькими крупными корпорациями (и я уверен маленькие, также) никогда не должна позволять "пользователю" использовать предварительно совместно использованные ключи, а скорее иметь затем вход в систему поля "перехода" или "концентратора", su соответствующему соединительному пользователю и затем SSH оттуда к серверам они должны справиться.

Кроме того, при использовании системы управления как Платформа автоматизации Сервера HP затем удаленное администрирование серверов, которыми управляют, становится более упрощенным процессом.

Для простоты управления несколькими способными серверами SSH можно хотеть проверить cssh. Можно объединить cssh с passphrased SSH ключи для большого улучшения способности управлять несколькими серверами одновременно.

Как говорили другие, хотя идея нескольких пар ключей может показаться более безопасной, если есть шанс, что они будут использоваться таким образом, что все они находятся в одном месте, тогда это просто больше хлопот и не более безопасно. Множественные парольные фразы сделают его более безопасным, но также большая головная боль, пытаясь запомнить, какая парольная фраза идет с каким ключом и какой ключ идет с каким сервером.

Наиболее разумным ответом для меня будет тот, где предлагалось делать ТОЛЬКО если он включает в себя отдельные административные роли без особого дублирования. Так что это могут быть разные люди, выполняющие разные роли, или на разных рабочих станциях, или что-то еще. В таком случае у вас в любом случае есть более уникальные вещи для каждой роли, так что это более оправданно.