كيفية مشاركة مفاتيح SSH والشهادات بأمان مع فريقك
مفاتيح SSH تمنح وصولاً كاملاً للخادم. تعرف على مخاطر مشاركتها عبر Slack أو البريد وكيفية استخدام المذكرات السرية ذات انتهاء الصلاحية للنقل الآمن.
كيفية مشاركة مفاتيح SSH والشهادات بأمان مع فريقك
"أرسل لي مفتاح SSH على Slack." عبارة شائعة في فرق التطوير. الوصول للخادم عاجل، عضو جديد يحتاج إعداد بيئته، والنشر وشيك لكن المفتاح غير متوفر.
لكن هذا الطلب البسيط قد يكون بداية حادث أمني خطير.
لماذا مشاركة مفاتيح SSH خطيرة بشكل خاص
مفتاح SSH ليس كلمة مرور عادية. إنه يمنح وصولاً كاملاً إلى الخادم.
| العامل | كلمة المرور | مفتاح SSH |
|---|---|---|
| نطاق الوصول | حساب محدد | الخادم بالكامل |
| تأثير التسريب | ذلك الحساب | جميع البيانات على الخادم |
| صعوبة التغيير | تغيير فوري | إعادة توليد + تحديث جميع الخوادم |
| المصادقة الثنائية | متاحة | المفتاح هو المصادقة |
تسريب مفتاح SSH يعني إمكانية الوصول لجميع الملفات وقواعد البيانات والأكواد على الخادم.
متى يحتاج الفريق لمشاركة المفاتيح
- الوصول المشترك للخوادم: خوادم Staging والإنتاج التي يحتاجها الفريق بأكمله
- مفاتيح النشر: مفاتيح لخطوط CI/CD
- شهادات SSL: نقل الشهادات عند تغيير المسؤول
- أسرار API: بيانات اعتماد التكامل مع خدمات خارجية
- بيانات قاعدة البيانات: الاستجابة لحوادث الطوارئ
طرق المشاركة الخطيرة
1. رسائل Slack/WhatsApp الخاصة
سجل المحادثات يُخزن بشكل دائم على الخوادم. أي شخص يبحث عن "ssh" أو "key" يمكنه العثور على مفاتيح تمت مشاركتها سابقاً.
2. البريد الإلكتروني
يُحفظ بشكل دائم على خوادم البريد. إعادة توجيه واحدة تفقدك السيطرة.
3. Google Drive/Notion المشترك
التحكم الدقيق في الوصول صعب. النسخ المحلية تبقى بعد المزامنة.
4. الإيداع في مستودع Git
الطريقة الأخطر. المفتاح يبقى للأبد في سجل Git حتى بعد حذف الملف.
طرق المشاركة الآمنة
الطريقة 1: المذكرة السرية من LOCK.PUB (الأفضل للنقل لمرة واحدة)
1. إنشاء مذكرة سرية على LOCK.PUB
2. لصق محتوى مفتاح SSH أو الشهادة
3. تعيين كلمة مرور قوية
4. ضبط أقصر مدة صلاحية ممكنة (1-4 ساعات)
5. إرسال الرابط عبر Slack وكلمة المرور عبر الهاتف
6. بعد حفظ المستلم للمفتاح محلياً ينتهي صلاحية الرابط
المزايا:
- المفتاح لا يُخزن كنص واضح على أي خادم
- لا يمكن الوصول بعد انتهاء الصلاحية
- لا يتبقى نص المفتاح في سجل المحادثات
الطريقة 2: مدير الأسرار (للفرق الكبيرة)
HashiCorp Vault أو AWS Secrets Manager أو Google Secret Manager.
الطريقة 3: هيئة شهادات SSH (حل طويل الأمد)
تشغيل SSH CA تصدر شهادات فردية لكل مستخدم مما يلغي الحاجة لمشاركة المفاتيح.
الطريقة 4: المفاتيح الفردية (الأكثر توصية)
المبدأ: مفتاح مشترك < مفاتيح فردية
تسريب مفتاح مشترك ← الفريق بأكمله متأثر
تسريب مفتاح فردي ← المستخدم وحده متأثر
قائمة التحقق عند ضرورة المشاركة
قبل النقل
- هل نطاق صلاحيات المفتاح في حده الأدنى؟
- هل مفتاح القراءة فقط كافٍ؟
- هل يمكن تطبيق قيود IP؟
أثناء النقل
- هل يُرسل المفتاح وكلمة المرور عبر قنوات مختلفة؟
- هل مدة الصلاحية أقصر ما يمكن؟
بعد النقل
- تأكيد حفظ المستلم للمفتاح بأمان
- التحقق من انتهاء صلاحية الرابط/المذكرة
- مراقبة سجلات استخدام المفتاح
جدول تدوير المفاتيح
| نوع المفتاح | دورة التدوير الموصى بها |
|---|---|
| مفاتيح خادم الإنتاج | 90 يوماً |
| مفاتيح النشر | 90 يوماً |
| شهادات SSL | عند كل تجديد |
| أسرار API | 90 يوماً |
| مفاتيح التطوير/Staging | 180 يوماً |
قائمة الأمان لفرق DevOps
- هل تُستخدم مفاتيح SSH فردية لجميع الخوادم؟
- هل المفاتيح المشتركة مقيدة بعناوين IP؟
- هل تُعطل مفاتيح الموظفين المغادرين فوراً؟
- هل يوجد جدول لتدوير المفاتيح؟
- هل لم يتم إيداع مفاتيح SSH في Git أبداً؟
- هل لا توجد مفاتيح بنص واضح في سجلات المحادثات؟
- هل يُستخدم قناة ذات انتهاء صلاحية لنقل الأسرار؟
الخلاصة
مفاتيح SSH والشهادات هي العمود الفقري لأمان الخادم. إرسالها عبر رسائل Slack أو البريد كتعليق مفتاح منزلك على لوحة إعلانات عامة. أصدر مفاتيح فردية كلما أمكن. عندما تكون المشاركة حتمية استخدم مذكرة سرية بأقصر مدة صلاحية.
أنشئ مذكرة سرية الآن لنقل مفاتيح SSH بأمان.