Деактивация файлов PEM

379
hatirlatici

До этого времени я не мог найти этот вопрос где-то еще. Если есть, пожалуйста, дайте мне знать.

Один из моих старых сотрудников привык использовать сгенерированный нами файл pem (Idk when) для входа на наш сервер freebsd без использования учетных данных. Он покинул компанию, и мы хотим отозвать этот pem-файл, чтобы он не мог войти на наш сервер. Есть ли способ отключить / аннулировать / отменить файл pem?

Спасибо

0
Под PEM я предполагаю, что вы имеете в виду файл в кодировке Base-64. Является ли файл PEM ключом SSH или сертификатом X509? Первый будет использоваться для входа по SSH, а второй - для входа на веб-сайт, размещенный на вашем сервере. Вы должны уточнить это в своем вопросе. garethTheRed 5 лет назад 1
Извините за путаницу. Он использовался для входа по ssh, а не для работы, связанной с сайтом. hatirlatici 5 лет назад 1

2 ответа на вопрос

3
garethTheRed

Вам необходимо удалить открытый ключ пользователя из authorized_keysфайла пользователя на сервере. Расположение по умолчанию для этого находится в .sshкаталоге в домашнем каталоге пользователя. Например, для пользовательских блогов файл будет /home/bloggs/.ssh/authorized_keys.

Файл будет содержать открытые ключи, которые соответствуют закрытым ключам, которые пользователи блогов могут использовать для входа на ваш сервер. Если блоггеры покинули компанию, то просто удалите все записи. Еще лучше, удалите его / ее учетную запись.

Если это общая учетная запись, вам необходимо выяснить, какие открытые ключи в этом файле соответствуют закрытым ключам, к которым блоггеры все еще имеют доступ, и удалить только эти. Удалите неправильных, и вы заблокируете законных пользователей. К счастью, многие записи в authorized_keysфайле содержат комментарий, состоящий из данных пользователя в конце ключа. Это может помочь вам отсеять ключи, которые нужно удалить.

Спасибо за подробный ответ. Я постараюсь поставить результаты и выводы. hatirlatici 5 лет назад 0
1
davidgo

Это зависит от того, в какую службу он входил. Большинство приложений, использующих SSL, имеют опцию RevokedKeys, которая ссылается на файл со списком отозванных ключей. Эти файлы, как правило, "crl" -файлы, и отзыв ключа Google (сервис) должен дать вам точную информацию.

Имя опции будет варьироваться в зависимости от сервиса - OpenVPN вызывает параметр crl-verify, клиентские сертификаты Apache используют SSLCARevocationPath, ngix использует ssl_crl

Похожие вопросы