Какая ssh-аутентификация безопаснее?
Я немножко опоздал к пятнице, но уж так получилось.
Итак, предположим, есть сеть из множества веб-серверов и обслуживающей их инфраструктуры (сервера приложений, баз данных, логов, бэкапов и пр.), все под юниксами. Некоторые из них по производственной необходимости имеют доступ друг к другу по ssh (в смысле, firewall пропускает).
Есть локальная сеть обслуживающей это дело компании, там живут десктопы сотрудников, и с них тоже есть доступ по ssh на эти серверы. На некоторые напрямую, на некоторые особо важные - только через промежуточные машины с повышенным уровнем контроля и только для узкого круга ограниченных людей.
Тем не менее, от компрометации никто не застрахован, поэтому вопрос:
какой вариант ssh-аутентификации будет лучше с точки зрения безопасности в случае возможной компрометации каких-нибудь машин (десктопа, промежуточной машины, какого-нибудь основного сервера)?
В смысле, чтобы злой хакер, получивший доступ (полный или под каким-то одним эккаунтом) к одной машине, имел как можно меньше возможностей попасть с неё на другие.
а) по паролям
б) по публичным ключам, разложенным для каждой пары непосредственно соединяющихся по ssh машин (зашифрованным с passphrase, естественно)
в) по единому публичному ключу сотрудника через ssh-agent (тоже с passphrase)
г) ещё как-то
Будет ли ответ зависеть от того, работают ли десктопы под юниксом или под windows?
[Не]удобство для сотрудников не рассматривается, вопрос только про безопасность.
Итак, предположим, есть сеть из множества веб-серверов и обслуживающей их инфраструктуры (сервера приложений, баз данных, логов, бэкапов и пр.), все под юниксами. Некоторые из них по производственной необходимости имеют доступ друг к другу по ssh (в смысле, firewall пропускает).
Есть локальная сеть обслуживающей это дело компании, там живут десктопы сотрудников, и с них тоже есть доступ по ssh на эти серверы. На некоторые напрямую, на некоторые особо важные - только через промежуточные машины с повышенным уровнем контроля и только для узкого круга ограниченных людей.
Тем не менее, от компрометации никто не застрахован, поэтому вопрос:
какой вариант ssh-аутентификации будет лучше с точки зрения безопасности в случае возможной компрометации каких-нибудь машин (десктопа, промежуточной машины, какого-нибудь основного сервера)?
В смысле, чтобы злой хакер, получивший доступ (полный или под каким-то одним эккаунтом) к одной машине, имел как можно меньше возможностей попасть с неё на другие.
а) по паролям
б) по публичным ключам, разложенным для каждой пары непосредственно соединяющихся по ssh машин (зашифрованным с passphrase, естественно)
в) по единому публичному ключу сотрудника через ssh-agent (тоже с passphrase)
г) ещё как-то
Будет ли ответ зависеть от того, работают ли десктопы под юниксом или под windows?
[Не]удобство для сотрудников не рассматривается, вопрос только про безопасность.