SSH Anahtarları Erişimi Nasıl Sağlar
SSH anahtarları; Linux ve Unix sistemlerine, ağ cihazlarına ve kod depolarına parola yerine oturum açmak için kullanılan kriptografik anahtar çiftleridir. Özel anahtar kullanıcıda veya uygulamada kalır; genel anahtar, onu kabul etmesi gereken her sunucudaki authorized_keys dosyasına eklenir. Özel anahtarı elinde tutan herkes içeri girer — parola sorulmaz ve çoğu varsayılan kurulumda son kullanma tarihi yoktur.
Bu kolaylık, yönetim sorununun ta kendisidir. Herhangi bir kullanıcı BT’yi dahil etmeden yeni anahtar çiftleri üretebilir ve genel anahtarları dağıtabilir; böylece bir ortam yıllar içinde binlerce anahtar biriktirir: ayrılmış çalışanların anahtarları, ekipler arasında paylaşılan anahtarlar, otomasyon betiklerine kopyalanmış anahtarlar ve kimin ne zaman oluşturduğu unutulmuş root yetkili anahtarlar.
Yönetilmeyen Anahtarlar Neden Tehlikeli
Parolaların aksine SSH anahtarları nadiren sona erme politikalarına, MFA’ya veya işten ayrılma kontrol listelerine dahil edilir. Bir çalışan ayrılmadan önce dizüstü bilgisayarına kopyalanan özel anahtar, yıllar sonra bile üretim sunucularını açmaya devam eder. Anahtarlar ayrıca zincirlenir: ele geçirilen bir sunucuda başka sunucuları açan özel anahtarlar bulunabilir; bu da saldırganların kimsenin haritasını çıkarmadığı güven ilişkileri boyunca ortamda sessizce ilerlemesine olanak tanır.
Denetimler, kuruluşların en temel soruları yanıtlayamadığını tekrar tekrar ortaya koyar: hangi anahtarlar var, neye erişim veriyorlar, özel yarıları kimlerde ve en son ne zaman kullanıldılar. Kimlik bilgisi yaşam döngüsü kontrolü gerektiren uyumluluk çerçeveleri parolalar kadar anahtarlara da uygulanır; ancak anahtarlar bir dizinde değil dağınık dosyalarda yaşadığı için gözden kaçırılmaları çok daha kolaydır.
Uygulamada SSH Anahtar Yönetimi
Bir anahtar yönetimi programı envanterle başlar: sunucular authorized_keys girdileri ve özel anahtar dosyaları için taranır, hangi anahtarın hangi hesabı açtığı haritalanır ve sahipsiz anahtarlar kaldırılır. Ardından politika gelir — onaylı anahtar algoritmaları ve uzunlukları, zorunlu parola korumaları, ortak anahtar yasağı ve kalan anahtarlar için rotasyon takvimleri.
En güçlü model, kalıcı anahtarları tamamen ortadan kaldırır: yöneticiler kişisel kimlikleri ve MFA ile bir PAM geçidinde kimlik doğrular; sunucu kimlik bilgisini oturum süresince geçit tutar veya enjekte eder. Monopam bu modeli SSH kimlik bilgilerini kasalayıp tarayıcı tabanlı, kayıtlı SSH oturumları açarak uygular; böylece özel anahtarların kullanıcı bilgisayarlarında bulunmasına hiç gerek kalmaz.