Developer Guide
5 min

How to Securely Share SSH Keys and Certificates with Your Team

SSH keys grant full server access. Learn why sharing them via Slack or email is dangerous, and how to use expiring secret memos for secure one-time key transfers.

LOCK.PUB
How to Securely Share SSH Keys and Certificates with Your Team

چگونه کلیدهای SSH و گواهینامه‌ها را به‌صورت امن با تیم به اشتراک بگذاریم

«فقط کلید SSH رو از Slack بفرست.» هر تیم توسعه این را شنیده. دسترسی سرور فوری است، عضو جدید تیم نیاز به راه‌اندازی محیط دارد، استقرار دقایقی فاصله دارد و کسی کلید را ندارد.

اما این یک درخواست ساده می‌تواند شروع یک حادثه امنیتی جدی باشد.

چرا اشتراک‌گذاری کلید SSH به‌ویژه خطرناک است

کلیدهای SSH مثل رمزهای عبور معمولی نیستند. آن‌ها دسترسی کامل به سرور می‌دهند.

عامل رمز عبور کلید SSH
محدوده حساب خاص کل سرور
تأثیر در صورت نشت آن حساب تمام داده‌های سرور
سهولت چرخش تغییر فوری بازتولید کلید + به‌روزرسانی تمام سرورها
پشتیبانی 2FA موجود خود کلید احراز هویت است

یک کلید SSH نشت‌شده هر فایل، هر پایگاه داده و هر قطعه کد روی سرور را آشکار می‌کند.

روش‌های اشتراک‌گذاری خطرناک

۱. پیام‌های خصوصی Slack یا Discord

تاریخچه چت به‌صورت دائمی روی سرورها ذخیره می‌شود. هرکسی می‌تواند «ssh» یا «key» را جستجو کند.

۲. ایمیل

به‌صورت دائمی در سرورهای ایمیل آرشیو می‌شود و پس از فوروارد غیرقابل کنترل است.

۳. Google Drive یا Notion مشترک

کنترل دقیق دسترسی دشوار است. وقتی فایل‌ها همگام‌سازی می‌شوند، نسخه‌های محلی روی دستگاه‌ها باقی می‌ماند.

۴. کامیت شده در مخزن Git

خطرناک‌ترین روش. کلیدها برای همیشه در تاریخچه Git باقی می‌مانند. حتی فایل‌های حذف‌شده از تاریخچه قابل بازیابی هستند.

روش‌های اشتراک‌گذاری امن

روش ۱: یادداشت محرمانه LOCK.PUB (بهترین برای انتقال یکباره)

عملی‌ترین راه‌حل وقتی نیاز به یک بار انتقال کلید دارید.

۱. یادداشت محرمانه در LOCK.PUB ایجاد کنید
۲. کلید SSH یا محتوای گواهینامه را پیست کنید
۳. رمز عبور قوی تنظیم کنید
۴. کوتاه‌ترین انقضای ممکن تنظیم کنید (۱-۴ ساعت)
۵. لینک را از Slack بفرستید، رمز عبور را با تلفن
۶. بعد از ذخیره کلید توسط گیرنده، لینک منقضی می‌شود

مزایا:

  • کلید به‌صورت متن ساده در هیچ سرور پایداری ذخیره نمی‌شود
  • پس از انقضا غیرقابل دسترسی
  • بدون متن ساده کلید در تاریخچه چت

روش ۲: مدیران اسرار (برای تیم‌های بزرگ‌تر)

از ابزارهای اختصاصی مانند HashiCorp Vault، AWS Secrets Manager یا Google Secret Manager استفاده کنید.

روش ۳: مرجع گواهینامه SSH (راه‌حل بلندمدت)

به جای کلیدهای مشترک، یک SSH CA اجرا کنید که گواهینامه‌های فردی برای هر کاربر صادر کند.

روش ۴: کلیدهای فردی (بیشتر پیشنهادی)

در صورت امکان، کلیدهای فردی صادر کنید نه اشتراک‌گذاری یک کلید در تیم.

چک‌لیست وقتی مجبور به اشتراک‌گذاری هستید

قبل از انتقال

  • آیا حداقل محدوده مجوز برای کلید تنظیم کرده‌اید؟
  • آیا کلید فقط‌خواندنی کافی نیست؟
  • آیا می‌توانید محدودیت IP اعمال کنید؟

در حین انتقال

  • آیا کلید و رمز عبور را از کانال‌های مختلف می‌فرستید؟
  • آیا کوتاه‌ترین انقضای عملی را تنظیم کرده‌اید؟
  • آیا فرستنده می‌تواند بعد از تأیید گیرنده نسخه اصلی را حذف کند؟

بعد از انتقال

  • تأیید کنید گیرنده کلید را به‌صورت امن ذخیره کرده
  • تأیید کنید لینک/یادداشت مشترک منقضی شده
  • لاگ‌های استفاده کلید را نظارت کنید

برنامه چرخش کلید

نوع کلید چرخش پیشنهادی
کلیدهای سرور تولید ۹۰ روز
کلیدهای استقرار ۹۰ روز
گواهینامه‌های SSL در هر تمدید
اسرار API ۹۰ روز
کلیدهای توسعه/استیجینگ ۱۸۰ روز

خلاصه

کلیدهای SSH و گواهینامه‌ها ستون فقرات امنیت سرور هستند. ارسال آن‌ها از طریق پیام خصوصی Slack یا ایمیل مثل سنجاق کردن کلید خانه‌تان به تابلوی اعلانات عمومی است. در صورت امکان کلیدهای فردی صادر کنید. وقتی اشتراک‌گذاری اجتناب‌ناپذیر است، از یادداشت محرمانه با کوتاه‌ترین انقضای ممکن استفاده کنید.

ایجاد یادداشت محرمانه

کلمات کلیدی

SSH key sharing
SSH key security
SSL certificate sharing
deploy key management
secret memo developer
DevOps security

همین حالا لینک محافظت‌شده با رمز خود را بسازید

لینک‌های محافظت‌شده با رمز، یادداشت‌های محرمانه و گفتگوهای رمزگذاری‌شده را رایگان بسازید.

شروع رایگان
How to Securely Share SSH Keys and Certificates with Your Team | LOCK.PUB Blog