Коротко: большинство экспертов рекомендуют менять SSH‑ключи раз в 6 - 12 месяцев, но частота зависит от уровня риска и требований безопасности. Современные рекомендации подчёркивают, что ключи нельзя оставлять "вечными", потому что со временем они превращаются в скрытый риск для инфраструктуры.
1. Для личных проектов и своего сервера
Рекомендуемая частота: Раз в 1 год (или даже реже).
Для личного использования (если вы единственный администратор) частая смена ключей может создать больше проблем, чем пользы (например, риск потерять доступ при неправильной замене). Главное правило: Меняйте ключ немедленно, если:
Вы потеряли ноутбук или флешку с ключом.
Вы подозреваете, что ваш компьютер был заражен вирусом.
Вы случайно "засветили" приватный ключ (выложили на GitHub, отправили в чат и т.д.).
2. Для работы и продакшна (Лучшая Практика)
Рекомендуемая частота: Раз в 3-6 месяцев.
В корпоративной среде риски выше.
Стандарт PCI DSS (для работы с картами), из-за него многие корпоративные регламенты требуют ротацию каждые 90 дней (корпоративной среде существует огромная разница между "что написано в стандарте" и "что требуют аудиторы / безопасники на местах".)
Это защищает от сценария, когда ключ был украден тихо (без вашего ведома) и злоумышленник использует его месяцами.
PCI DSS (Payment Card Industry Data Security Standard) - это "золотой стандарт" безопасности для любой организации, которая хранит, обрабатывает или передает данные банковских карт (Visa, Mastercard, МИР).
SSH - это главная дверь для управления сервером. Если ваш сервер имеет отношение к платежам или картам, то настройки SSH становятся объектом пристального внимания аудиторов PCI DSS.
Даже если вы не банк, требования PCI DSS полезно знать, потому что это готовая инструкция "как сделать действительно безопасно".
1. Запрет прямого входа root (Требование 8.6)
Что требует стандарт: Каждое действие на сервере должно быть привязано к конкретному человеку. Если все заходят под общим логином root, то в логах будет видно «root удалил базу данных», но непонятно, кто именно это был - Вася или Петя.
Ваша ситуация: Вы только что создали личного пользователя (h...) и отключили PermitRootLogin. Это полное соответствие стандарту. Теперь в логах будет видно: "Пользователь h... повысил права до root и удалил базу".
2. Запрет простых паролей и использование криптографии (Требование 2.3)
Что требует стандарт: Для административного доступа через интернет нужно использовать сильную криптографию. Передача паролей в открытом виде запрещена.
Ваша ситуация: SSH сам по себе шифрует трафик. А отключение входа по паролю (PasswordAuthentication no) и переход на ключи - это лучшая практика (Best Practice), которую аудиторы очень любят.
3. Регулярная смена ключей (Требование 3.6.4)
Что требует стандарт: Криптографические ключи (Ключи шифрования данных (Data Encryption Keys)) должны меняться по расписанию (обычно каждые 90 дней), а старые - уничтожаться.
Что это: Это ключи, которыми шифруется сама база данных с номерами карт. Если хакер украдет этот ключ и дамп базы, он сможет прочитать номера карт.
Почему: Потому что эти ключи используются автоматически программами. Если такой ключ утечет, вы не узнаете об этом годами. Поэтому их принудительно меняют, чтобы ограничить объем данных, которые можно расшифровать одним ключом.
4. Не использовать "дефолтные" настройки (Требование 2.1)
Что требует стандарт: Нельзя использовать пароли и настройки, которые идут "из коробки" (vendor-supplied defaults).
Ваша ситуация: Вы уже изменили порт (если меняли?), отключили рута, создали своего юзера. Вы уже не используете дефолт.
Стандарт PCI DSS настоятельно рекомендует (а версия 4.0 требует) двухфакторную аутентификацию (MFA) даже для администраторов. PCI DSS не предписывает конкретный метод, например "SSH‑ключ + код Google Authenticator". Он требует наличия MFA, а конкретная реализация остаётся на усмотрение организации!
3. Критические ситуации (Менять немедленно)
В этих случаях расписание не имеет значения - нужно действовать сразу:
Увольнение сотрудника. Если ушел админ или разработчик, все ключи, к которым он имел доступ, должны быть удалены с серверов, а оставшиеся сотрудники должны сгенерировать новые.
Скомпрометированное устройство. Логика "я почистил компьютер антивирусом, значит всё в порядке" здесь не работает. Вирусы (трояны, стилеры) настроены искать именно файлы в папке .ssh. Как только вирус попадает на компьютер, он мгновенно копирует эти файлы и отправляет их злоумышленнику. Вы можете возразить: "Но у меня ключ защищен паролем (passphrase)!". Если устройство скомпрометировано, скорее всего, на нем работал кейлоггер (программа, записывающая нажатия клавиш). Когда вы вводили пароль, чтобы разблокировать ключ, хакер получил и файл ключа, и пароль к нему.
Смена алгоритмов шифрования. Если вы использовали старые ключи RSA-1024 или DSA (которые сейчас считаются слабыми), их нужно срочно заменить на современные Ed25519 или RSA-4096.
Частая ошибка при обновлении
Многие думают, что создание нового ключа автоматически отменяет старый. Это не так. SSH-сервер пускает по списку ключей. Если вы добавите новый ключ, но забудете удалить строку со старым ключом из файла ~/.ssh/authorized_keys, то старый ключ продолжит работать.
Правильный алгоритм ротации:
Сгенерировать новую пару ключей (ssh-keygen -t ed25519).
Добавить новый публичный ключ на сервер.
Проверить вход с новым ключом.
Удалить старый публичный ключ из файла authorized_keys на сервере.
Удалить старый приватный ключ с локального компьютера.
В мире IT принято считать, что Linux - это прямой потомок и идейный наследник Unix. Но если задать тот же вопрос про Windows, ответ будет похож на запутанный детектив. Мы разобрались в генеалогическом древе самой популярной ОС в мире и выяснили, что Windows - это своего рода "Франкенштейн", сшитый из трёх совершенно разных легендарных систем.
1 . VMS (Душа и Ядро) - Самый важный предок
Если вы спросите системного архитектора, на что похожа Windows внутри (на уровне ядра), он ответит: "На VMS". Это самый важный, но наименее известный широкой публике предок.
В конце 80-х Билл Гейтс осознал, что архитектура MS-DOS и ранних Windows 95 - это тупик. Они были ненадежными и не подходили для серьезных серверов. Ему нужна была "тяжелая артиллерия".
Что сделал Гейтс? Он переманил к себе главного архитектора системы OpenVMS из компании DEC - Дэйва Катлера. Гейтс дал ему огромный бюджет и карт-бланш с одной целью: создать "убийцу Unix". Так родилась Windows NT (New Technology), ядро которой работает сегодня в вашем компьютере.
Интересный факт: Управление памятью, драйверами и процессами в Windows идеологически взято из VMS. Существует легенда, что название WNT — это шифр. Если взять аббревиатуру VMS и сдвинуть каждую букву на одну вперед по алфавиту, получится:
V → W
M → N
S → T
Итог: WNT (Windows NT).
2 . CP/M (Скелет и привычки) - Откуда взялись диски C:\
Если "мозги"(ядро) Windows получила от VMS, то свои старые привычки и логику работы с файлами она унаследовала от системы CP/M (созданной Гэри Килдалом).
Именно отсюда растут корни тех вещей, которые десятилетиями удивляют пользователей Linux и macOS:
Буквы дисков: Почему система стоит на диске C:, а не A:? Потому что в CP/M и первых DOS буквы A и B были зарезервированы под дискеты. Эта архаичная структура жива до сих пор.
Обратный слеш: Использование \ вместо привычного для всего остального мира / в путях к файлам - тоже наследие CP/M и MS-DOS.
Имена файлов: Привычка давать файлам расширения из трех букв (.txt, .exe, .jpg) родилась из старого ограничения "8.3" (8 букв на имя, 3 на расширение).
3 . Xerox Alto и Mac OS (Лицо) - Откуда взялись окна
Внутренности от VMS и скелет от CP/M нужно было продать пользователям. Для этого требовалась красивая обертка.
Вдохновение для графического интерфейса Microsoft черпала в разработках лаборатории Xerox PARC и, позже, у Apple. Билл Гейтс, как и Стив Джобс, увидел будущее за окнами, мышкой и иконками. Первая Windows была попыткой "натянуть" красивый интерфейс (как у Mac) на старый костяк MS-DOS (клон CP/M).
4 . Заключение
В отличие от Linux, который стремился быть "свободным Unix", Windows создавалась как коммерческий продукт-победитель. Microsoft не стеснялась брать лучшие идеи отовсюду:
Ядро (Kernel): От VMS. Это дало надежность и многозадачность.
Структура (CLI): От CP/M. Это подарило нам диск C: и командную строку.
Интерфейс (GUI): От Xerox/Apple. Это дало нам окна и курсор мыши.
Теперь, когда вы видите синий экран загрузки или открываете "Мой компьютер", вы знаете: перед вами результат слияния трех великих технологий прошлого.
Вы открываете терминал каждый день, видите привычный значок $ и пишете команды. Но задумывались ли вы, почему черное окно называется Bash? За этим странным словом скрывается каламбур, библейская отсылка и история борьбы за свободу кода.
Вот 5 фактов о Bash, которые должен знать каждый.
1. Скрытый смысл названия
Аббревиатура BASH расшифровывается как Bourne Again SHell. Это игра слов, которая работает на двух уровнях:
Прямой смысл: "Ещё одна оболочка Борна" (потому что она была создана как замена старой оболочке Bourne shell).
Ироничный смысл: Созвучно с выражением "Born Again" ("рожденный заново" или "возрожденный").
Суть шутки: Старая проприетарная оболочка "умерла" для сообщества из-за закрытой лицензии, а новаявозродилась как феникс из пепла, став полностью свободной и ещё более мощной.
2. Кто такой Борн и при чем тут он?
Чтобы понять шутку, перенесемся в 1977 год. В легендарных лабораториях Bell Labs (где придумали Unix и C) работал британец Стивен Борн (Stephen Bourne). Он написал программу sh (shell - оболочка), которая стала стандартом общения человека с машиной. Её так и называли - "Оболочка Борна".
Но была проблема: sh принадлежала корпорации AT&T. Она была закрытой и платной. Вы не могли просто взять её и поставить на свой компьютер.
3. Рождение Bash (GNU и Брайан Фокс)
В 80-х Ричард Столлман запустил проект GNU. Его мечта была дерзкой: создать полностью свободную операционную систему. Им нужны были свои, бесплатные аналоги всех программ: свой редактор, свой компилятор и, конечно, своя оболочка.
Столлман нанял программиста Брайана Фокса (Brian Fox). В 1989 году Фокс выпустил первую версию Bash. Он сделал так, чтобы новая оболочка понимала все команды старой sh (для совместимости), но была удобнее и, главное, абсолютно бесплатной. Именно Фокс придумал название Bourne Again Shell как дань уважения Стивену Борну.
Интересный факт: Брайан Фокс создал Bash, но работал над ним всего пару лет. Настоящий герой - Чет Рэми (Chet Ramey). Он поддерживает и развивает Bash с начала 90-х - уже более 30 лет! Если вы сегодня найдете баг в Bash, вам ответит именно Чет.
4. Почему Bash есть в каждом Linux?
Когда в 1991 году Линус Торвальдс написал ядро Linux, у него был, по сути, только "двигатель". Ему нужны были "руль и колеса" - программы для управления ядром. Он не стал писать их с нуля, а взял готовые инструменты от проекта GNU. Поскольку Bash был лучшей свободной оболочкой на тот момент, он сразу попал в первые дистрибутивы.
С тех пор это стандарт: ставишь Linux - получаешь Bash.
5. Терминал и Bash - не одно и то же
Новички часто путают эти понятия, но разница важна:
📺 Терминал (GNOME Terminal, Putty, Console) - это "телевизор". Это просто окно, которое показывает текст и передает нажатия клавиш.
👨💻 Bash - это "телеведущий". Это программа, которая сидит внутри терминала, читает ваши команды (ls, cd, mkdir), понимает их и запускает процессы.
