Oddbean new post about login | logout @707f5f57 @87c98d39 ssh ist generisch unsicher, weil der Lebenszyklus der Keys nicht definiert ist. Ich ziehe mir das aus dem LDAP oder AD oder Ansible/Chef/Puppet ist *KEIN* Key Management. Ein paar größere Fails: https://news.softpedia.com/news/Over-250-000-Home-Routers-Found-with-Duplicate-SSH-Keys-473651.shtml https://www.securityweek.com/github-rotates-publicly-exposed-rsa-ssh-private-key/ https://burningtree.co.uk/lessons-snowden-unmanaged-ssh-key-time-bomb/ Managing Ssh Keys ist inzwischen ein Compliance Business https://www.ssh.com/products/universal-ssh-key-manager/references SSH Risk Assessment discoveries:
@3067ff47 @707f5f57 Aber sicher. Ein Ex-Arbeitgeber verwendet Server Key Injection. Login nach sah.keks.com, 2FA und Du hast einen signierten Key mit 24h lifetime in Agent. Dort sind auch die Geräte drin signiert, auf die Du drauf darfst. Private und Public Key sind ephemeral und nicht persistiert, und durch die signierten capabilities gescoped.