Jak bezpiecznie udostępniać klucze SSH i certyfikaty w zespole
Klucze SSH dają pełny dostęp do serwera. Dowiedz się, dlaczego udostępnianie ich przez Slacka lub e-mail jest niebezpieczne i jak używać wygasających tajnych notatek do bezpiecznych jednorazowych transferów.
Jak bezpiecznie udostępniać klucze SSH i certyfikaty w zespole
„Po prostu wyślij mi klucz SSH na Slacku." Każdy zespół programistyczny to słyszał. Dostęp do serwera jest pilny, nowy członek zespołu musi skonfigurować środowisko. Ale ta jedna prośba może być początkiem poważnego incydentu bezpieczeństwa.
Dlaczego udostępnianie kluczy SSH jest szczególnie niebezpieczne
Klucze SSH to nie zwykłe hasła. Dają pełny dostęp do serwera.
| Czynnik | Hasło | Klucz SSH |
|---|---|---|
| Zakres | Konkretne konto | Cały serwer |
| Wpływ wycieku | To konto | Wszystkie dane na serwerze |
| Łatwość rotacji | Natychmiastowa zmiana | Regeneracja klucza + aktualizacja wszystkich serwerów |
Bezpieczne metody udostępniania
Metoda 1: Tajna notatka LOCK.PUB (najlepsza do jednorazowych transferów)
- Utwórz tajną notatkę na LOCK.PUB
- Wklej klucz SSH lub zawartość certyfikatu
- Ustaw silne hasło
- Ustaw najkrótsze możliwe wygasanie (1-4 godziny)
- Wyślij link przez Slacka, hasło podaj telefonicznie
- Po zapisaniu klucza przez odbiorcę, link wygasa
Metoda 2: Secrets Managers (dla większych zespołów)
HashiCorp Vault, AWS Secrets Manager, Google Secret Manager.
Metoda 3: SSH Certificate Authority (rozwiązanie długoterminowe)
Eliminuje potrzebę udostępniania kluczy całkowicie.
Metoda 4: Indywidualne klucze per użytkownik (najbardziej zalecane)
Wyciek współdzielonego klucza → dotknięty cały zespół. Wyciek indywidualnego → tylko ten użytkownik.
Harmonogram rotacji kluczy
| Typ klucza | Zalecana rotacja |
|---|---|
| Klucze serwera produkcyjnego | 90 dni |
| Klucze deploy | 90 dni |
| Certyfikaty SSL | Przy każdym odnowieniu |
| Sekrety API | 90 dni |
| Klucze dev/staging | 180 dni |
Podsumowanie
Klucze SSH i certyfikaty to kręgosłup bezpieczeństwa serwerów. Wysyłanie ich przez Slack DM lub e-mail to jak przypinanie klucza do domu na publicznej tablicy. Wydawaj indywidualne klucze, gdy możliwe. Gdy udostępnianie jest nieuniknione, użyj tajnej notatki z najkrótszym możliwym wygasaniem.
Keywords
You might also like
Jak bezpiecznie udostępniać klucze API i sekrety zespołowi
Naucz się bezpiecznie udostępniać klucze API, tajne klucze i zmienne środowiskowe zespołowi programistycznemu. Unikaj niebezpiecznych metod.
Phishing na portale rzadowe: Jak chronic swoje konto ePUAP i mObywatel
Dowiedz sie, jak rozpoznac i unikac oszustw phishingowych wymierzonych w uzytkownikow ePUAP i mObywatel. Chron swoje dane przed falszywymi powiadomieniami o zawieszeniu konta.
Phishing podatkowy w Polsce: Jak rozpoznac falszywe e-maile i portale Urzedu Skarbowego
Dowiedz sie, jak rozpoznac ataki phishingowe podszywajace sie pod Urzad Skarbowy i Krajowa Administracje Skarbowa, wlaczajac falszywe e-maile o zwrotach podatkowych i falszywe portale e-PIT.
Create your password-protected link now
Create password-protected links, secret memos, and encrypted chats for free.
Get Started Free