web-dev-qa-db-fra.com

L'administrateur du serveur m'a envoyé une clé privée à utiliser. Pourquoi?

Je suis censé accéder à un serveur afin de relier les serveurs intermédiaires et en direct d'une entreprise à notre boucle de déploiement. Un administrateur de leur côté a configuré les deux instances, puis a créé un utilisateur sur le serveur pour nous à SSH en tant que. J'en ai l'habitude.

Dans mon esprit, ce qui se passerait maintenant, c'est que je leur enverrais ma clé publique qui pourrait être placée dans leur dossier de clés autorisées. Au lieu de cela, cependant, ils m'ont envoyé un nom de fichier id_rsa qui à l'intérieur du fichier contient -----BEGIN RSA PRIVATE KEY----- par e-mail. Est-ce normal?

J'ai regardé autour de moi et je peux trouver des tonnes de ressources sur la génération et la configuration de mes propres clés à partir de zéro, mais rien sur le démarrage de les clés privées du serveur. Dois-je l'utiliser pour générer une clé pour moi ou?

Je demanderais directement à l'administrateur du système, mais je ne veux pas paraître idiot et perdre tout le temps entre nous. Dois-je simplement ignorer la clé qu'il m'a envoyée et leur demander de mettre ma clé publique dans leur dossier autorisé?

73
Toby

Dans mon esprit, ce qui se passerait maintenant, c'est que je leur enverrais ma clé publique qui pourrait être placée dans leur dossier de clés autorisées.

Ce qui est "dans votre esprit" comme ce qui devrait arriver maintenant est correct.

Le courrier électronique n'est pas un canal de communication sécurisé, donc d'un point de vue d'une sécurité appropriée, vous (et eux) devez considérer que la clé privée est compromise.

Selon vos compétences techniques et votre diplomatie, vous pouvez faire plusieurs choses différentes. Je recommanderais l'une des options suivantes:

  1. Générez votre propre paire de clés et joignez la clé publique à un e-mail que vous leur envoyez, en disant:

    Merci! Étant donné que le courrier électronique n'est pas une méthode de distribution sécurisée pour les clés privées, pourriez-vous plutôt mettre ma clé publique en place? C'est attaché.

  2. Remerciez-les et demandez-leur s'ils s'opposent à ce que vous installiez votre propre paire de clés, car la clé privée qu'ils ont envoyée doit être considérée comme compromise après avoir été envoyée par e-mail.

    Générez votre propre paire de clés, utilisez la clé qu'ils vous ont envoyée pour vous connecter la première fois et utilisez cet accès pour modifier le authorized_keys fichier pour contenir la nouvelle clé publique (et supprimer la clé publique correspondant à la clé privée compromise.)

En résumé: vous ne ressemblerez pas à un idiot. Mais, l'autre administrateur pourrait très facilement ressembler à un idiot. Une bonne diplomatie pourrait éviter cela.


Modifier en réponse aux commentaires de MontyHarder:

Aucun de mes plans d'action suggérés ne consiste à "réparer les choses sans dire à l'autre administrateur ce qu'il a fait de mal"; Je l'ai fait subtilement sans le jeter sous le bus.

Cependant, j'ajouterai que je ferais également un suivi (poli) si les indices subtils n'étaient pas relevés:

Bonjour, j'ai vu que vous n'avez pas répondu à mon commentaire sur le courrier électronique en tant que canal non sécurisé. Je veux être sûr que cela ne se reproduira plus:

Comprenez-vous pourquoi je fais ce point sur la gestion sécurisée des clés privées?

Meilleur,

Toby

115
Wildcard

Dois-je simplement ignorer la clé qu'il m'a envoyée et leur demander de mettre ma clé publique dans leur dossier autorisé?

Oui, c'est exactement ce que vous devez faire. Tout l'intérêt des clés privées est qu'elles sont privées, ce qui signifie que vous avez uniquement votre clé privée. Depuis que vous avez reçu cette clé de l'administrateur, il l'a également. Il peut donc vous imiter à tout moment.

Que la clé vous ait été envoyée via un canal sécurisé ou non n'a pas d'importance: même si vous avez reçu votre clé privée en personne, cela ne changera rien. Bien que je sois d'accord avec les commentaires selon lesquels l'envoi par e-mail de clés de cryptographie sensibles est la cerise sur le gâteau: votre administrateur ne prétend même pas qu'une sorte de politique de sécurité est en place.

33
Dmitry Grigoryev

Pour moi, il semble que l'administrateur a généré une paire de clés privée/publique pour vous, ajouté la clé publique aux clés autorisées et vous a envoyé la clé privée. De cette façon, vous n'avez qu'à utiliser cette clé privée pour vos sessions ssh avec le serveur. Pas besoin de générer une paire de clés vous-même ou d'envoyer à l'administrateur une clé publique à votre clé privée éventuellement corrompue (pensez toujours au pire des cas: P).

Cependant, je ne ferais pas confiance à la clé privée qui vous est envoyée par courrier non chiffré.

Mon approche serait la suivante: utilisez la clé privée pour vous connecter une fois, ajoutez votre propre clé publique aux clés autorisées sur le serveur (en remplaçant la clé publique d'origine) et jetez cette clé privée électronique. Vous pouvez ensuite remercier l'administrateur, qu'il/elle/il vous a fourni la clé privée, mais vous préféreriez que ces informations/clés ne soient pas envoyées par e-mail (/ du tout).

14
user204269