Общий процесс должен генерировать пару открытых и закрытых ключей и загрузить открытый ключ на сервер для соединения SSH.
Затем если я должен управлять большой суммой серверов, я предполагаемый к:
ИЛИ
Я лично полагаю, что предпочтительный вариант достаточно хорош с точки зрения безопасности. Я корректен?
Спасибо.
Общий ответ заключается в том, что вы, скорее всего, захотите разместить один и тот же персональный открытый ключ на всех серверах/аккаунтах, на которые вы хотите войти. Для всех практических целей более или менее невозможно получить личный ключ из соответствующей публичной половины.
Тогда существует куча потенциальных исключений.
Хотя обычно это хорошее правило - хранить парольную фразу личного ключа в защищённом виде, что может быть менее выполнимо при выполнении определённых автоматизированных задач. Для этой цели вам может понадобиться отдельная пара ключей с незашифрованным закрытым ключом для использования в отношении определенных (надеюсь, ограниченных) учетных записей.
Если предположить, что вы в основном подключаетесь к современным серверам, ваш личный ключ ssh может иметь вид ed25519. Тогда, по соображениям совместимости, вам может понадобиться вторичная пара ключей типа RSA, чтобы иметь возможность войти на серверы с более старой версией OpenSSH. За исключением того, что в таком случае, вероятно, будет достаточно хорошо пройти RSA до конца.
Если вы много используете пересылку агентов ssh, то теоретическое преимущество заключается в использовании отдельных пар ключей, ограничивающих ущерб, который может нанести вредоносный сервер. За исключением того, что я представляю себе, как это быстро становится грязным на практике. Наверное, лучше просто держаться подальше от переадресации агентов.