Почему Google рекомендует удалить ключи SSH из GCE для безопасности?
Ниже ссылки на документацию Google больше не верно.
Google рекомендует удалить ключи SSH из экземпляра GCE для обеспечения SSH. Это не имеет никакого смысла мне. Ключи там для безопасности, правильно? Когда я удаляю ключи, SSHD прекращает работать. Я, вероятно, упускаю их суть. Может кто-то объяснять, что делает среднее этим:
Удалите ключи хоста ssh
Не используйте ключи хоста ssh со своим экземпляром. Удалите их следующим образом:
rm /etc/ssh/ssh_host_key rm /etc/ssh/ssh_host_rsa_key* rm /etc/ssh/ssh_host_dsa_key* rm /etc/ssh/ssh_host_ecdsa_key*
Важнейшая деталь заключается в том, что ссылка на страницу посвящена созданию нового образа компьютера Compute Engine. В частности, когда вы создаете новый образ виртуальной машины, вы хотите убедиться, что он НЕ включает никаких ключей хоста. Таким образом, когда образ будет клонирован и преобразован в реальную виртуальную машину, сценарий запуска sshd распознает отсутствие ключей хоста и автоматически сгенерирует новые. Это желательно, потому что иметь несколько машин, использующих один и тот же ключ хоста, - очень плохая идея.
Итак, в общем случае, пожалуйста, не удаляйте ключи хоста, но если вы создаете новый образ, это важный шаг для обеспечения взаимно-однозначной связи между ключами хоста и машинами.
Единственная возможная причина, по которой я могу думать, это то, что они хотят заставить вас регенерировать новые ключи.
Так как эти ключи были сгенерированы до того, как вы получили доступ к ним, они могут быть не доверенными
.
Удаление и повторный запуск sshd приведет к регенерации ключей для Вас.
.
Однако в документе это не совсем ясно.
Это чистая спекуляция, и было бы лучше связаться с ними и получить разъяснения по этому поводу.