您的位置: 网界网 > 周报全文 > 正文

[周报全文]NIST发布使用SSH密钥的最佳实践指导

2014年09月18日 16:00:16 | 作者:CNW.com.cn | 来源:网界网 | 查看本文手机版

摘要:目前,上百万的系统管理员都在使用SSH协议和软件套件,以实现在远程服务器上登录应用和服务账户,其认证方法有密钥认证、代号认证、数字认证和公开密钥认证。但是,如果管理不当的话,SSH密钥很可能会被攻击者利用,并侵入企业...

标签
NIST
实践指导
SSH密钥

本报讯 目前,上百万的系统管理员都在使用SSH协议和软件套件,以实现在远程服务器上登录应用和服务账户,其认证方法有密钥认证、代号认证、数字认证和公开密钥认证。但是,如果管理不当的话,SSH密钥很可能会被攻击者利用,并侵入企业的IT基础设施。

研究机构Ponemon Institute今年年初对全球2000家企业的2100个系统管理员进行的一项调查发现,由于企业对SSH密钥保护性较差,有四分之三的企业其系统非常容易受到根级攻击。

由于人们对于SSH密钥的安全性越来越担忧,美国国家标准与技术研究所(NIST)近期制定了一份长关于SSH密钥管理的最佳实践指导。该草案名为“使用SSH自动访问管理安全须知”。以下是这一草案的要点内容:

1. NIST指出,在 SSH中有两种密钥认证机制,即基本密钥认证和键盘交互认证。基本密钥认证就是由SSH协议标准授权的传统认证方式,而键盘交互认证则被用于非常现代的环境中,除了传统密钥认证之外,键盘交互认证还能支持请求-回应认证和一次性密钥口令。NIST建议密钥认证应该被用于自动访问,因为硬编码密钥很容易被攻击者窃取。

2. 基于主机的认证使用的是服务器主机密钥,以认证源主机和验证客户端用户身份,而服务器主机密钥是客户用来验证服务器身份的。NIST指出,由于基于主机的认证没有配置命令的限制,所以NIST并不推荐自动访问使用基于主机的认证。

3. SSH的公开密钥认证是利用用户密钥或证书来认证一个连接(+微信关注网络世界),这需要SSH用户拥有一个用户密钥。该用户密钥被称为“身份密钥”,一般是一个RSA或DSA私人密钥。NIST指出,公开密钥认证的优点在于它不会私自创造出任何隐性信任关系,而是明文规定的信任关系,因此NIST推荐使用公开密钥认证来进行SSH自动访问。

目前,NIST起草的这个指导文件(NIST 7966草案)仍在讨论阶段,预计将在本月底完成。该草案还包含了许多关于使用SSH软件进行安全管理的建议,以及厂商(包括Fox技术公司、SSH通信安全公司和Venafi)产品选型指导。(更多内容详见: http://www.cnw.com.cn/P/5965)

[责任编辑:孙可 sun_ke@cnw.com.cn]