目前，上百萬的系統(tǒng)管理員都在使用SSH協(xié)議和軟件套件以實(shí)現(xiàn)在遠(yuǎn)程服務(wù)器上登錄應(yīng)用和服務(wù)賬戶，其認(rèn)證方法有密鑰認(rèn)證、代號認(rèn)證、數(shù)字認(rèn)證和公開密鑰認(rèn)證。但是，如果管理不當(dāng)?shù)脑挘琒SH密鑰很可能會被攻擊者利用，并侵入企業(yè)的IT基礎(chǔ)設(shè)施。

研究機(jī)構(gòu)Ponemon Institute今年年初對全球2000家企業(yè)的2100個系統(tǒng)管理員進(jìn)行的一項(xiàng)調(diào)查發(fā)現(xiàn)，由于企業(yè)對SSH密鑰保護(hù)性較差，有四分之三的企業(yè)的系統(tǒng)非常容易受到根級(root-level)攻擊，同時一半以上的企業(yè)承認(rèn)存在SSH密鑰相關(guān)的兼容性問題。

由于人們對于SSH密鑰的安全性越來越擔(dān)憂，所以美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)近期制定了一份長達(dá)37頁關(guān)于SSH密鑰管理的最佳實(shí)踐指導(dǎo)。該草案名為“使用SSH自動訪問管理安全須知(Security of Automated Access Management Using Secure Shell (SSH))”，以下是這一草案的要點(diǎn)內(nèi)容，即指導(dǎo)系統(tǒng)管理員該如何做。

1. NIST指出，在 SSH中有兩種密鑰認(rèn)證機(jī)制，即基本密鑰認(rèn)證和鍵盤交互認(rèn)證。

基本密鑰認(rèn)證就是由SSH協(xié)議標(biāo)準(zhǔn)授權(quán)的傳統(tǒng)認(rèn)證方式，而鍵盤交互認(rèn)證則被用于非常現(xiàn)代的環(huán)境中，除了傳統(tǒng)密鑰認(rèn)證之外，鍵盤交互認(rèn)證還能支持請求-回應(yīng)認(rèn)證和一次性密鑰口令。NIST建議密鑰認(rèn)證應(yīng)該被用于自動訪問，因?yàn)橛簿幋a密鑰很容易被攻擊者竊取。如果企業(yè)使用密鑰認(rèn)證進(jìn)行自動訪問，那么這個密鑰需要根據(jù)企業(yè)的密鑰政策頻繁輪換。

2. 基于主機(jī)的認(rèn)證使用的是服務(wù)器主機(jī)密鑰，以認(rèn)證源主機(jī)和驗(yàn)證客戶端用戶身份，服務(wù)器主機(jī)密鑰是客戶用來驗(yàn)證服務(wù)器身份的。然而，NIST指出，由于基于主機(jī)的認(rèn)證沒有配置命令的限制，所以NIST并不推薦自動訪問使用基于主機(jī)的認(rèn)證。

3. 許多企業(yè)使用Kerberos和Active Directory認(rèn)證實(shí)現(xiàn)在Windows域或Kerberos域中SSH單點(diǎn)登錄，NIST也表示，那些廣泛應(yīng)用SSH工具的企業(yè)在默認(rèn)的Active Directory域或Kerberos域中提供單點(diǎn)登錄。但是NIST指出，單點(diǎn)登錄意味著一旦一個賬戶利用Kerberos認(rèn)證獲得訪問權(quán)限，那么它也很可能會登錄到另一個有著相同賬號的服務(wù)器上，同時進(jìn)入到一個相同的域中而不需要進(jìn)一步認(rèn)證。這很容易創(chuàng)建出大量的不必要的隱性信任關(guān)系。

此外，當(dāng)前被廣泛應(yīng)用的SSH工具并不支持Kerberos命令限制。因此基于這些原因，自動訪問不推薦使用Kerberos認(rèn)證。

SSH的公開密鑰認(rèn)證是利用用戶密鑰或證書來認(rèn)證一個連接，這需要SSH用戶擁有一個用戶密鑰，該用戶密鑰被稱為“身份密鑰”，一般是一個RSA或DSA私人密鑰。同時(+本站微信networkworldweixin)，服務(wù)器還需要為用戶賬戶配置一個被稱為“授權(quán)密鑰”的公開密鑰。

NIST指出，任何擁有身份密鑰的用戶都可以登錄服務(wù)器，并享受該密鑰授權(quán)的用戶賬戶和操作執(zhí)行。這個身份密鑰通常被存儲在一個智能卡上，或者是一個密碼保護(hù)文檔中。

NIST表示，許多SSH工具支持授權(quán)密鑰的部署限制，以限制使用該密鑰進(jìn)入服務(wù)器上的行為，限制IP地址和密鑰的使用。NIST指出，公開密鑰認(rèn)證的優(yōu)點(diǎn)在于它不會創(chuàng)造出任何隱性信任關(guān)系，而是明文規(guī)定的信任關(guān)系。

允許訪問可以通過檢測目的主機(jī)來決定，因?yàn)槟康闹鳈C(jī)非常重要，可以用來審核誰有資格訪問哪些系統(tǒng)或賬戶。基于公開密鑰認(rèn)證的這些優(yōu)勢，NIST推薦使用公開密鑰認(rèn)證來進(jìn)行SSH自動訪問。

目前，NIST起草的這個指導(dǎo)文件(NIST 7966草案)仍在討論階段，預(yù)計(jì)將在本月底完成。該草案還包含了許多關(guān)于使用SSH軟件進(jìn)行安全管理的建議，以及廠商(有Fox技術(shù)公司、SSH通訊安全公司和Venafi)產(chǎn)品選型指導(dǎo)。