秘密鍵の保管場所について

現在、システム開発などをしているのですが、
以下のような構成で組んだ場合。

http://aws.clouddesignpattern.org/index.php/CDP:OnDemand_Bastion%E3%83%91%E3%82%BF%E3%83%BC%E3%83%B3

Webサーバーなどには踏み台サーバーを経由して、
ログインするような場合です。
(外部からWebサーバーへはアクセスできない)

このときにWebサーバーへはSSH接続により、
秘密鍵を使ってログインします。

この場合、秘密鍵はどこに保存しておくのが、
正しいのでしょうか。

・.ssh以下に保存するなどでいいのでしょうか。
・Webサーバーにログインするときに踏み台サーバーに秘密鍵をアップ。
使用後はサーバーからは秘密鍵を削除

実運用の場合にはどうするのが一般的なのでしょうか。
踏み台サーバーは使用時以外は停止させておきます。

ぜひ、いろいろなご意見をいただければ幸いです。
よろしくお願いいたします。

行動規範の内容に同意します

回答1件

ssh -A (ForwardAgent) を使って踏み台サーバーにログインすれば、秘密鍵を踏み台サーバーで保持せずに Webサーバーにログインできます。
0. SSHクライアントで ssh-agent が起動していることを確認し、ssh-add で踏み台サーバー、Webサーバーの秘密鍵を登録
0. ssh -A (ForwardAgent) で踏み台サーバーにログインし、ssh-add -l で Webサーバーの秘密鍵が見えることを確認
0. ssh で Webサーバーにログイン

投稿2015/06/09 01:26

TaichiYanagiya

総合スコア12146

1nakaji

2015/06/09 09:30

ご回答ありがとうございます。なるほど、そういう方法があるんですね。便利ですし、セキュアな感じですね。勉強になります。あと別件なのですが、 ssh-addで秘密鍵を登録した後で、 ~/.ssh/configに以下を登録し、 SSHログインを簡略化しようと思いました。 Host hogehost HostName xx.xx.xx.xx User ec2-user すると、以下のようにエラーが出てログインできませんでした。 ssh: Could not resolve hostname hogehost: nodename nor servname provided, or not known 接続先のIPアドレスが間違っているというよりは、 config自体を参照していないのかなと思ってます。手打ちで ssh -A ec2-user@xx.xx.xx.xx などとすると普通にログインできます。こちら考えられる理由などがあれば、教えていただけますでしょうか? ご質問ばかりで大変恐縮ですが、よろしくお願いいたします。

TaichiYanagiya

2015/06/09 11:38

ちょっとわかりませんが、ググると MAC で mDNSResponder の問題というものがあるようです。

1nakaji

2015/06/09 16:00

ご回答ありがとうございます。なるほど、この現象自体が、一般的な現象ではないようですね。 ~/.ssh/configを参照するというような SSHの設定ファイルのパスを指定するようなファイルはあるのでしょうか? ググっても、うまく引っかからなかったので、もしご存知でしたら教えていただけますと幸いです。