使用 POSIX Shell 进行 SSH 密钥轮换 - 老旧密钥即将淘汰

于 2021 年 12 月 7 日

简介

OpenBSD 最近通过使用 “Signify” 发行版发布签名，向我们强调了密钥轮换的价值。我们意识到 SSH 密钥也应该轮换，以降低强大的密钥落入坏人之手，变成“持续送礼的礼物”的风险。关于 SSH 密钥的退役一直存在开放性问题。这些问题越来越多，许多人加入了对 SSH 证书颁发机构的倡导。

“轮换” SSH 密钥是指替换它，使其不再被识别，需要从 authorized_keys 文件中删除。SSH 轮换通常通过 Ansible 解决，但这使得许多小型系统用户或缺乏权限的用户束手无策。非常缺乏一种更基本、更易于访问的 SSH 密钥迁移方法。

下面介绍了一个完全使用 POSIX shell 编写的 SSH 密钥轮换脚本。

滥用这种工具存在明显的危险。许多管理员控制着无法访问的系统，一旦失去控制，将带来巨大的不便。这里演示了风险递增的轮换方案，任何密钥持有者都可以根据自己的容忍度进行选择。希望我在设计中没有犯下严重的错误。

这种方法最保守的用户应极其谨慎地对待，仔细测试，并在部署之前确保有其他访问方式。作为作者，我不想对轮换失败及其后果承担任何责任。我尤其不赞成下面的 “wipe” 选项，用于从 authorized_keys 中删除条目。它仅作为评论呈现，而不是可工作的代码。

无论如何，我们都愚蠢地冲进了更谨慎的人害怕涉足的地方。

SSH 轮换脚本

下面介绍一个 SSH 密钥轮换脚本。它旨在分几个阶段使用，密钥被发送、测试、远程擦除和迁移。它有意容易出错、脆弱且快速终止。如果 ssh-agent 未运行，它将立即失败（如果您不熟悉 agent 的用法，那么您还没有准备好进行 SSH 密钥轮换）。在调用脚本之前，agent 应为所有目标主机持有一个工作密钥（这可以是目标轮换的密钥，但不是必需的）。它将在每次运行时验证新分发密钥的密码，部分原因是为了让用户在潜在的不可撤销的操作之前最后暂停一下。下面的脚本是用于管理 SSH 身份验证密钥轮换（不包括主机密钥轮换）的完整部署解决方案。

在我们开始之前，有几个关键点需要考虑

轮换的密钥必须从所有目标主机上的 authorized_keys 文件中删除。 当被替换的密钥仍然可以用于身份验证时，生成和部署新密钥毫无意义。
为轮换生成的新密钥应具有与任何先前密钥不同的密码。 如果私钥落入攻击者手中，成功的密码破解不应危及较新的密钥。

考虑到这些想法，以下是脚本

$ cat ssh-rotate
#!/bin/dash
 
alias p=printf
 
usage () { p "%s - SSH key rotation
  -c             - Use ssh-copy-id to distribute SSH public keys of any type
  -d             - Use ssh-copy-id in dry-run mode
  -e             - Edit/copy existing ed25519 entry to a new key
  -h hostfile    - Target hosts [host port username]
  -k keyfile.pub - Deploy a specific public key
  -m             - Migrate id_ed25519 keypair - archive old, place new
  -r rounds      - Set rounds for auto-generated ed25519
  -w             - Wipe existing id_ed25519.pub from authorized_keys
" "$0"; }
 
err () { usage; p '\nerror:'; for x; do p ' %s' "$x"; done; p '\n'; exit; }
 
[ -z "$SSH_AUTH_SOCK" -o -z "$SSH_AGENT_PID" ] && err 'no agent'
 
set -eu; unset IFS  # http://redsymbol.net/articles/unofficial-bash-strict-mode/
copyid= dryrun= edit= hf= kprv= migrate= rounds=100 wipe= format=\
'=%s=%s=%d====================================================================='
 
while getopts cdeh:k:mr:uw arg
do case "$arg" in
        c) copyid=1                ;;
        d) dryrun=1                ;;
        e) edit=1                  ;;
        h) hf="$OPTARG"            ;;
        k) kprv="${OPTARG%[.]pub}" ;;
        m) migrate=1               ;;
        r) rounds="$OPTARG"        ;;
        u) usage; exit             ;;
        w) wipe=1                  ;;
   esac
done
 
[ "$wipe" -a -z "$kprv" ] && err 'You must specify a key to wipe'
[ -z "$hf"   ]  && err 'no hosts'
[ -z "$kprv" ]  && kprv=~/.ssh/id_ed25519_pre$(date +%Y%m%d); kpub="${kprv}.pub"
[ -f "$kprv" ]  || ssh-keygen -t ed25519 -o -a "$rounds" -f "$kprv"
[ -f "$kpub" ]  || err 'public key not found'                    # ssh-keygen -y
ssh-add "$kprv" || err 'key rejected by agent'
 
ktyp="$(sed 's/[ ].*$//' $kpub)"
 
nrip="$(sed 's_^[^ ]*[ ]__; s_[ ][^ ]*$__' "$kpub")"
[ ssh-ed25519 = "$ktyp" ] &&
  orip="$(sed 's_^[^ ]*[ ]__; s_[ ][^ ]*$__' ~/.ssh/id_ed25519.pub)"

chk255 () { [ ssh-ed25519 != "$ktyp" ] && err 'requires id_ed25519'; true; }
 
while read host port user <&9
do case "$host" in [#]*) continue;; esac

   [ -z "$host" -o -z "$port" -o -z "$user" ] && err "bad host file"
 
   printf "$format" "$user" "$host" "$port" | cut -c-80

   [ "$copyid" ] && ssh-copy-id    -i "$kpub" -p "$port" "$user@$host"
 
   [ "$dryrun" ] && ssh-copy-id -n -i "$kpub" -p "$port" "$user@$host"
 
   [ "$edit" ]   && { chk255
                      ssh -p "$port" "$user@$host" \
                        sed -i.rotate "'\_${orip}_{p;s__${nrip}_;}'" \
                          '~/.ssh/authorized_keys'; }

#  [ "$wipe" ]   && { chk255
#                     prmpt="$(ssh -p "$port" "$user@$host" sed -n \
#                       "'\_${orip}_p'" '~/.ssh/authorized_keys')"
#                     [ -z "$prmpt" ] && continue
#                     p '%s\n\n%s - Confirm key wipe (Y/n)? ' "$prmpt" "$host"
#                     read check
#                     [ n = "$check" ] && continue
#                     [ Y = "$check" ] &&
#                       ssh -p "$port" "$user@$host" \
#                         sed -i.rotate "'\_${orip}_d'" \
#                           '~/.ssh/authorized_keys' || err 'Wipe aborted'; }

done 9< "$hf"
 
if [ "$migrate" ]
then chk255
     mv -iv ~/.ssh/id_ed25519 ~/.ssh/id_ed25519_$(date +%Y%m%d)
     mv -iv ~/.ssh/id_ed25519.pub ~/.ssh/id_ed25519.pub_$(date +%Y%m%d)
     mv -iv "$kprv" ~/.ssh/id_ed25519
     mv -iv "$kpub" ~/.ssh/id_ed25519.pub
fi                                # ssh-add -l; ssh-add -d ~/.ssh/id_ed25519.pub

此脚本使用 Debian DASH shell，它（主要）强制执行 POSIX 兼容性，并且不允许 “bashisms” 或其他高级 shell 功能。这应该可以在 bash、Korn shell 变体和 Busybox 中未经修改地运行。基础设施先决条件极少，允许脚本在各种平台上运行。

上面的 “rounds” 选项使私钥更能够抵抗密码破解攻击（以防它落入攻击者手中），但代价是延迟解密（通过 agent 或与 -i 选项一起使用时）。OpenBSD 的默认值为 16 轮。上面的默认值为 100 轮。根据您的喜好调整此参数。

请注意，上面的 “wipe” 操作已注释掉。在任何情况下，保守的用户都不应启用此功能。

该脚本首选 ed25519 密钥。OpenSSH 支持的其他公钥方案也可以使用，但它们的功能会降低。不应尝试将此脚本的功能向后移植到 NIST ECDSA 或 RSA。 tinyssh 服务器可以将现代且安全的密码学带到旧系统，包括 ed25519。

`ssh-copy-id` 批量

最安全的轮换方法是使用 OpenSSH 中包含的 ssh-copy-id 脚本，该脚本由熟练的开发人员精心设计，以应对商业 UNIX。目标帐户必须能够运行 UNIX shell，因此 “exotic” 平台（例如 VMS 或原生 Windows）可能无法很好地工作，尽管这些脚本在 Cygwin 下可以合理地工作。仅 SFTP 帐户或使用 command= 选项锁定的密钥同样无法通过此方法轮换，并且需要管理员干预才能更改 authorized_key 条目。 ssh-copy-id 脚本在编写时充分考虑了不超过 POSIX 兼容性的旧系统（在状态良好时）。这应该在大多数具有 shell 访问权限的 UNIX 类系统上合理地工作。

首先要执行的是试运行，这将为入站轮换生成一个新密钥。在任何类型的初始运行时，必须总共输入三次新密钥密码（为了防止此脚本将数千人锁定在他们的服务器之外）。新密钥始终在每次运行时确认，暂停是件好事（不要删除它）。

下面的主机列表很短，但很容易变得更长得多。如果 NFS 服务器保存您的主目录（以及 ~/.ssh/authorized_keys 文件），则在任何挂载它的服务器中仅包含一个主机。

在新生成的私钥上使用新密码。 如果旧密钥落入攻击者手中，对其进行成功的密码破解不应危及新密钥。

$ cat shosts
bsd.myhost.com 22 cfisher
ubuntu.myhost.com 22 cfisher

$ ./ssh-rotate -h shosts -d
Generating public/private ed25519 key pair.
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/cfisher/.ssh/id_ed25519_pre20211130.
Your public key has been saved in /home/cfisher/.ssh/id_ed25519_pre20211130.pub.
The key fingerprint is:
SHA256:ZU5y5lOaz3i7000+v1gE87Q9HJX8I92AC02Y/ayu6II cfisher@centos
The key's randomart image is:
+--[ED25519 256]--+
|           *... o|
|          + + .o.|
|        . *..*.+o|
|         X +..Oo*|
|        S *  ..*o|
|           =. . o|
|     .    ..+. = |
|    E .  . .o.+.o|
|       oo ..o+ .=|
+----[SHA256]-----+
Enter passphrase for /home/cfisher/.ssh/id_ed25519_pre20211130: 
Identity added: /home/cfisher/.ssh/id_ed25519_pre20211130 (cfisher@centos)
=cfisher=bsd.myhost.com=22======================================================
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/cfisher/.ssh/id_ed25519_pre20211130.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
=-=-=-=-=-=-=-=
Would have added the following key(s):

ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAINm3PZqO1Y+4uEjDjsftIG5+O7OWV/uvFI1JjkL3V6Bg cfisher@centos
=-=-=-=-=-=-=-=
=cfisher=ubuntu.myhost.com=22===================================================
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/cfisher/.ssh/id_ed25519_pre20211130.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
=-=-=-=-=-=-=-=
Would have added the following key(s):

ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAINm3PZqO1Y+4uEjDjsftIG5+O7OWV/uvFI1JjkL3V6Bg cfisher@centos
=-=-=-=-=-=-=-=

ssh-copy-id 命令没有提示输入远程密码，因为 agent 已缓存了一个工作密钥，这是预期的用法。此输出看起来是正确的，因此我们将执行复制

$ ./ssh-rotate -h shosts -c
Enter passphrase for /home/cfisher/.ssh/id_ed25519_pre20211130: 
Identity added: /home/cfisher/.ssh/id_ed25519_pre20211130 (cfisher@centos)
=cfisher=bsd.myhost.com=22======================================================
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/cfisher/.ssh/id_ed25519_pre20211130.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh -p '22' 'cfisher@bsd'"
and check to make sure that only the key(s) you wanted were added.

=cfisher=ubuntu.myhost.com=22===================================================
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/cfisher/.ssh/id_ed25519_pre20211130.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh -p '22' 'cfisher@ubuntu'"
and check to make sure that only the key(s) you wanted were added.

SSH 命令批量

现在我们应该检查主机集合上的 authorized_keys 文件。为此，可以使用以下脚本将 SSH agent 身份验证的命令发送到我们的每台服务器

$ cat ssh-run-minimal
#!/bin/dash

alias p=printf

usage(){ p "%s - SSH run\n -h hostfile: Targets [host port username]\n" "$0"; }

err () { usage; p '\nerror:'; for x; do p ' %s' "$x"; done; p '\n'; exit; }
 
[ -z "$SSH_AUTH_SOCK" -o -z "$SSH_AGENT_PID" ] && err 'no agent'
 
set -eu; unset IFS  # http://redsymbol.net/articles/unofficial-bash-strict-mode/

hf= format=\
'=%s=%s=%d====================================================================='

while getopts h:u arg
do case "$arg" in h) hf="$OPTARG"; shift 2;; u) usage; exit;; esac; done
 
[ -z "$hf" ] && err 'no hosts'

while read host port user <&9
do case "$host" in [#]*) continue;; esac
   p "$format" "$user" "$host" "$port" | cut -c-80
   ssh -p "$port" "$user@$host" "$@"
done 9< "$hf"              # This feeds into ssh's stdin without alternate #< fd

现在我们可以检查目标服务器上的 authorized_keys（使用一些仔细的引用）

$ ./ssh-run-minimal -h shosts cat '~/.ssh/authorized_keys'
=cfisher=bsd.myhost.com=22======================================================
no-agent-forwarding ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIAWnRQaFXxeBM1WRyS8Ncm42bLrQ4S88JKomEbtvKWzX cfisher@slackware
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAINm3PZqO1Y+4uEjDjsftIG5+O7OWV/uvFI1JjkL3V6Bg cfisher@centos
=cfisher=ubuntu.myhost.com=22===================================================
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIAWnRQaFXxeBM1WRyS8Ncm42bLrQ4S88JKomEbtvKWzX cfisher@slackware
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAINm3PZqO1Y+4uEjDjsftIG5+O7OWV/uvFI1JjkL3V6Bg cfisher@centos

到目前为止的解决方案并不理想，但对于最保守的用户来说，这应该是可以承受的所有风险。对于此类密钥持有者，责任在于您通过某种方法清除 authorized_keys。这将在下面讨论，请继续阅读。

复制密钥元数据

通过 ssh-copy-id 安装的新密钥存在几个问题

上面的密钥选项 no-agent-forwarding 未应用于新密钥。如果主机集合很大，手动修复将很不方便。
如果保留先前密钥上的电子邮件/注释，也可能更可取。

上述功能可以通过使用流编辑器实用程序 “sed -i” 进行 “就地编辑” 来实现，这不在 POSIX sed 标准中，因此这将（暴力地）与商业 UNIX 不兼容。就地编辑是此任务的如此诱人的工具，以至于无法抗拒，但我们必须放弃 POSIX 才能适应它，这将减少兼容平台的数量。

由于新的 authorized key 不符合声明的需求，我们将使用 sed 远程擦除它。女士们先生们，请不要在家尝试。

$ ./ssh-run-minimal -h shosts sed -i.rotate '/centos/d' '~/.ssh/authorized_keys'
=cfisher=bsd.myhost.com=22======================================================
=cfisher=ubuntu.myhost.com=22===================================================

$ ./ssh-run-minimal -h shosts cat '~/.ssh/authorized_keys'
=cfisher=bsd.myhost.com=22======================================================
no-agent-forwarding ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIAWnRQaFXxeBM1WRyS8Ncm42bLrQ4S88JKomEbtvKWzX cfisher@slackware
=cfisher=ubuntu.myhost.com=22===================================================
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIAWnRQaFXxeBM1WRyS8Ncm42bLrQ4S88JKomEbtvKWzX cfisher@slackware

在尝试将旧密钥元数据与新密钥合并之前，始终执行上述试运行以确认所有主机都可访问，并且它们的 known_hosts 条目存在且正确是很有用的。我在这里省略了试运行，但是反复执行它比因为省略它而遇到错误要好。

假设主机列表是正确的，我们将提取所有旧密钥的元数据，并将其包装在新密钥周围

$ ./ssh-rotate -h shosts -e
Enter passphrase for /home/cfisher/.ssh/id_ed25519_pre20211130: 
Identity added: /home/cfisher/.ssh/id_ed25519_pre20211130 (cfisher@centos)
=cfisher=bsd.myhost.com=22======================================================
=cfisher=ubuntu.myhost.com=22===================================================

$ ./ssh-run-minimal -h shosts cat '~/.ssh/authorized_keys'
=cfisher=bsd.myhost.com=22======================================================
no-agent-forwarding ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIAWnRQaFXxeBM1WRyS8Ncm42bLrQ4S88JKomEbtvKWzX cfisher@slackware
no-agent-forwarding ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAINm3PZqO1Y+4uEjDjsftIG5+O7OWV/uvFI1JjkL3V6Bg cfisher@slackware
=cfisher=ubuntu.myhost.com=22===================================================
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIAWnRQaFXxeBM1WRyS8Ncm42bLrQ4S88JKomEbtvKWzX cfisher@slackware
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAINm3PZqO1Y+4uEjDjsftIG5+O7OWV/uvFI1JjkL3V6Bg cfisher@slackware

现在新密钥更接近地模仿了旧密钥。

为了进行酸性测试，我们可以从 agent 中删除原始密钥

$ ssh-add -l
256 SHA256:zvvXqCNs5V2xYx8tmXZtu8FYwJgU66sH8tooP0qgK2I cfisher@centos (ED25519)
256 SHA256:ZU5y5lOaz3i7000+v1gE87Q9HJX8I92AC02Y/ayu6II cfisher@centos (ED25519)

$ ssh-add -d ~/.ssh/id_ed25519
Identity removed: /home/cfisher/.ssh/id_ed25519 (cfisher@centos)

请注意，下面 sed 每次执行时都创建了备份文件，并且在我们删除 agent 的旧密钥后运行命令的能力证实了新密钥是功能正常的

$ ./ssh-run-minimal -h shosts ls -li '~/.ssh'
=cfisher=bsd.myhost.com=22======================================================
total 24
39079171 -rw-------  1 cfisher  fishecj  238 Nov 30 20:13 authorized_keys
39079172 -rw-------  1 cfisher  fishecj  119 Nov 30 20:00 authorized_keys.rotate
41196027 -rw-r--r--  1 cfisher  fishecj   95 Mar  1  2021 known_hosts
=cfisher=ubuntu.myhost.com=22===================================================
total 28
540964721 -rw------- 1 cfisher cfisher  198 Nov 30 20:13 authorized_keys
536871207 -rw------- 1 cfisher cfisher   99 Nov 30 20:00 authorized_keys.rotate
537003647 -rw-r--r-- 1 cfisher cfisher 1792 Mar 30  2020 known_hosts

似乎运行 SELinux 的系统在 sed 就地编辑操作中保留了 ssh_home_t 上下文。

编辑后的 authorized_keys 文件的 inode 在处理后是不同的，表明 sed 创建了一个新文件。已观察到备份文件具有原始 inode 号。

在超出此步骤时要谨慎，因为任何进一步的 sed 操作都将擦除使用这些命令生成的备份。

擦除

您应该从 authorized_keys 文件中清除旧内容。如果任何 authorized_keys 文件保留了以前的公钥，则部署新的私钥毫无意义。通过正确的密钥轮换限制访问需要删除旧密钥的所有与身份验证相关的部分。

如果您的私钥被盗，则必须尽快从每个 authorized_keys 实例中删除它们。即使它们被加密，如果攻击者有丝毫兴趣，也会将它们加载到破解软件中。

在尝试任何擦除方法之前，请通过不同密钥上的单独帐户测试和验证对目标服务器的其他远程访问。限制登录到另一个国家/地区的服务器上的控制台可能是一个非常代价高昂的错误。

如果我启用上面的 “wipe” 内容，我可以交互式地删除这些密钥。请注意，我不建议任何读者启用此功能，并且我不能对灾难承担责任。

$ ./ssh-rotate -h shosts -k ~/.ssh/id_ed25519 -w
Enter passphrase for /home/cfisher/.ssh/id_ed25519: 
Identity added: /home/cfisher/.ssh/id_ed25519 (cfisher@centos)
=cfisher=bsd.myhost.com=22======================================================
no-agent-forwarding ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIAWnRQaFXxeBM1WRyS8Ncm42bLrQ4S88JKomEbtvKWzX cfisher@slackware

bsd.myhost.com - Confirm key wipe (Y/n)? Y
=cfisher=ubuntu.myhost.com=22===================================================
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIAWnRQaFXxeBM1WRyS8Ncm42bLrQ4S88JKomEbtvKWzX cfisher@slackware

ubuntu.myhost.com - Confirm key wipe (Y/n)? Y

$ ./ssh-run-minimal -h shosts cat '~/.ssh/authorized_keys'
=cfisher=bsd.myhost.com=22======================================================
no-agent-forwarding ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAINm3PZqO1Y+4uEjDjsftIG5+O7OWV/uvFI1JjkL3V6Bg cfisher@slackware
=cfisher=ubuntu.myhost.com=22===================================================
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAINm3PZqO1Y+4uEjDjsftIG5+O7OWV/uvFI1JjkL3V6Bg cfisher@slackware

请注意，上面的小写 “y” 将导致脚本立即失败。完成后，旧密钥将不再被任何目标主机接受。

我祈求您，读者，不要使用此功能。找到您自己的安全路径来清除 authorized_keys 中的陈旧令牌。

上面删除密钥的就地 sed 编辑示例是一个值得研究的选项，而清理 authorized_keys 的准备性 sed 处理可能涉及 /^$/d 模式以删除空白行，以及 /ssh-rsa/d 模式以删除 RSA 密钥，这些密钥由于其对 SHA-1 的可靠性而严重削弱。

有些人可能更喜欢使用 # 注释标记作为前缀，并添加当前日期和时间作为后缀，而不是 sed 删除运算符。这不利于整洁有序的 authorized_keys，但可以使紧急恢复稍微简单一些。

在所有系统上保留两个密钥可以降低意外锁定单个密钥的风险。

如果所有目标上的统一 authorized_keys 文件是一个选项，则可以执行批量 sftp（或 scp，尽管它已弃用），而不是使用 sed 进行任何就地编辑。对于商业 UNIX，这是一种更好的清理方法。

无论如何，在您决定的任何事情上都要小心谨慎。

私钥迁移

此时，我们准备好存档旧私钥，并将新私钥移动到适当的位置

$ ./ssh-rotate -h shosts -m
Enter passphrase for /home/cfisher/.ssh/id_ed25519_pre20211130: 
Identity added: /home/cfisher/.ssh/id_ed25519_pre20211130 (cfisher@centos)
=cfisher=bsd.myhost.com=22======================================================
=cfisher=ubuntu.myhost.com=22===================================================
‘/home/cfisher/.ssh/id_ed25519’ -> ‘/home/cfisher/.ssh/id_ed25519_20211130’
‘/home/cfisher/.ssh/id_ed25519.pub’ -> ‘/home/cfisher/.ssh/id_ed25519.pub_20211130’
‘/home/cfisher/.ssh/id_ed25519_pre20211130’ -> ‘/home/cfisher/.ssh/id_ed25519’
‘/home/cfisher/.ssh/id_ed25519_pre20211130.pub’ -> ‘/home/cfisher/.ssh/id_ed25519.pub’

为了提高安全性，最好将旧密钥添加到加密存档中。

agent 应该使用新密钥文件进行回收（使用 ssh-add -D; ssh-add 或 ssh-agent -k）。

改进的 `ssh-run` 脚本

作为最后的礼物，下面是一个更简洁的 ssh-run 实现，它使用颜色和 Unicode 线条绘制字符。

捆绑在 dash shell 中的 printf 内置程序在任何测试平台上都不显示 Unicode，因此别名必须设置为有能力的外部 printf 二进制文件。在 Cygwin 上，它非常缓慢地 fork 进程，使用 dash 会出现可见的延迟，可以通过改为使用设置为内置 printf 的 bash 来纠正。

由于 bash 在 POSIX 兼容性方面的一些怪异之处，当 bash 作为 #!/bin/bash 调用时，printf 内置程序的别名会失败，但当 bash 作为 #!/bin/sh 调用时，功能正常。

可能需要进行一些实验才能获得最佳结果。

$ cat ssh-run
#!/bin/dash
 
alias p=/usr/bin/printf                         # must be Unicode-capable printf
usage () { p "%s - SSH run
  -h hostfile - Target hosts [host port username]
  -u usage
" "$0"; }
 
err () { usage; p '\nerror:'; for x; do p ' %s' "$x"; done; p '\n'; exit; }
 
[ -z "$SSH_AUTH_SOCK" -o -z "$SSH_AGENT_PID" ] && err "error: no agent"
 
set -eu; unset IFS  # http://redsymbol.net/articles/unofficial-bash-strict-mode/
N="$(p '\033[')" x=30 maxlen=0 hf=
 
for a in Bl R G Y B M C W # 4-bit Black Red Green Yellow Blue Magenta Cyan White
do eval $a='$N'"'"$((   x))"m'" \
       b$a='$N'"'"$((60+x))"m'" \
    ${a}bg='$N'"'"$((10+x))"m'" \
   b${a}bg='$N'"'"$((70+x))"m'"        # bX=bright Xbg=background bXbg=brgt bgnd
   x=$((x+1))
done
 
while getopts h:u arg
do case "$arg" in h) hf="$OPTARG"; shift 2 ;; u) usage; exit ;; esac; done
 
[ -z "$hf" ] && err 'no hosts'; N="${N}0m"
hl="$(p '\u2550')" vl="$(p '\u2551')" ll="$(p '\u2554')" bl="$(p '\u255A')"
 
while read host port user <&9
do case "$host" in [#]*) continue;; esac
   p "$B$ll$hl$G${user}$B$hl$M${host}$B$hl$C(${port})$N:$B\\n"
   ssh -p "$port" "$user@$host" "$@" |
     while read t
     do p "$B$vl$Y$t\\n"
     done
   x=$((${#host} + ${#port} + ${#user}))
   maxlen=$((x > maxlen ? x : maxlen))
   ll="$(p '\u2560')"
done 9< "$hf"              # This feeds into ssh's stdin without alternate #< fd

p "$B$bl"

x=0 maxlen=$((maxlen + 6))

while [ $x -lt $maxlen ]
do p "$hl"
   x=$((x+1))
done

p "$N\\n"


$ ./ssh-run -h shosts cat '~/.ssh/authorized_keys'
╔═cfisher═bsd.myhost.com═(22):
║no-agent-forwarding ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAINm3PZqO1Y+4uEjDjsftIG5+O7OWV/uvFI1JjkL3V6Bg cfisher@slackware
╠═cfisher═ubuntu.myhost.com═(22):
║ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAINm3PZqO1Y+4uEjDjsftIG5+O7OWV/uvFI1JjkL3V6Bg cfisher@slackware
╚════════════════════════════════

此脚本似乎在 OpenBSD 上也无法正确显示，无论使用任何 shell 或版本的 printf，都是由于 Unicode 问题（但颜色确实有效）。OpenBSD 通常被认为是比许多常见的 Linux 发行版更安全的平台，因此 ssh-run 的一个版本在 OpenBSD 上作为安全堡垒运行具有一定的价值。

作为 OpenBSD 的粗略修复，将以下变量的所有赋值调整为这些值

hl=- vl='|' ll=+ bl=+

也许在 OpenBSD 平台上有一些更好的 UTF-8 解决方案，但目前尚不明显。

结论

SSH 已被扩展到远远超出其最初的设计目标，并且有很多事情它做得不好。SFTP 无疑是 SSH 缺点的典型例子，与它取代的 FTP 协议相比，它的性能非常糟糕。该惨败的后果仍在不断显现。

同样，最初的 SSH 设计者都没有想到密钥轮换的必要性。这个新时代已经到来，我们终于看到，我们对这些身份验证工具的照顾还远远不够。

我们一直在轻率地对待私钥，在创建时省略密码，将它们推送到 Github 或以其他方式公开它们，并忽略 authorized_keys 中的 command= 和 from= 选项来限制它们可能造成的损害。我们对勒索软件攻击日益成功感到惊讶。

此脚本是一个有缺陷且谦逊的努力，它伪装成解决关键问题的系统软件。许多密钥翻转和纠正的脚本错误并不能构成最佳实践。

令人担忧的是，这里介绍的方法可以方便任何拥有授权（可能共享）私钥的人员进行帐户接管。心怀不满的员工可以使用此工具轻松撤销对大量帐户的组访问权限，并且对这些技术的了解可能会影响那些无意使用它的人。

使用未为现代安全需求设计的工具来实施良好习惯将是痛苦的。希望这是一个开始。

Charles Fisher 拥有爱荷华大学的电气工程学位，并在一家财富 500 强矿业和制造公司担任系统和数据库管理员。

加载 Disqus 评论

#Linux

ssh

#Shells

使用 POSIX Shell 进行 SSH 密钥轮换 - 老旧密钥即将淘汰

简介

SSH 轮换脚本

`ssh-copy-id` 批量

SSH 命令批量

复制密钥元数据

擦除

私钥迁移

改进的 `ssh-run` 脚本

结论

#Linux

ssh

#Shells

使用 POSIX Shell 进行 SSH 密钥轮换 - 老旧密钥即将淘汰

简介

SSH 轮换脚本

ssh-copy-id 批量

SSH 命令 批量

复制密钥元数据

擦除

私钥迁移

改进的 ssh-run 脚本

结论

近期文章

`ssh-copy-id` 批量

SSH 命令批量

改进的 `ssh-run` 脚本