Dois-je sauvegarder mes keys d'hôte SSH?

Dans mes sauvegardes automatisées, je ne suis pas sûr de devoir faire ça. Si le disque dur échoue ou si j'essuie le disque dur et recommence, quel sera l'effet de commencer avec une nouvelle key d'hôte SSH pour mes clients? Est-ce que je known_hosts faire autre chose que supprimer le nom de l'hôte du file known_hosts de chaque client? Quelle est la meilleure chose à faire dans ce cas? Je prévois d'essuyer mon ordinateur et de partir de zéro dans les prochains jours.

Si vous réinstallez le operating system sur votre ordinateur, mais que vous considérez qu'il s'agit toujours du «même» ordinateur, vous devez sauvegarder la key privée SSH et la restaurer après l'installation. Si vous réutilisez le même matériel pour créer un système différent, vous devez générer une nouvelle key pour le nouveau système. Décider si c'est toujours le même ordinateur est une décision sémantique, alors c'est à vous de décider; la restauration ou la régénération de la key SSH est la mise en œuvre de cette décision.

Si vous êtes la seule personne à accéder à cet ordinateur, peu importe. Si vous avez d'autres users, la modification de la key SSH entraînera des problèmes:

  • Les quelques users qui sont à la fois soucieux de leur security et bien informés s'inquiéteront de ce qu'il se passe quelque chose de mal et essaieront de vous contacter hors bande pour vous avertir qu'ils pourraient être attaqués.
  • Les quelques users qui connaissent bien mais pas ce paranoïaque vont supprimer l'ancienne key SSH pour se débarrasser du message d'erreur, et se plaindre de la modification de la key sysadmin.
  • La majorité des users qui ignorent les messages vont simplement voir qu'ils ne peuvent pas se connecter et peuvent vous contacter pour get de l'aide.

A less qu'un monde de gens ne se connecte à votre système en dehors de vous et que vous souhaitiez que le changement de leur service soit aussi ininterrompu que possible, il est probablement aussi bien que vous créez de nouvelles keys d'hôte. Si vous essuyez un système et que vous démarrez à partir de zéro, ce n'est pas le même système qu'il l'était auparavant et vos clients ssh auront raison de vouloir vous informer que le système a changé. Si vous ne disposez d'aucun verrou dans affect si vous ne pouviez pas vous connecter à de nouveaux hôtes, la mise à jour du file d'hôtes connus devrait être facile.