SSH калит қандай ишлайди
Private key фойдаланувчида, public key серверда. Имзо тармоқ орқали ўтмайди, brute force амалда имконсиз. Хавф нотўғри сақлашдан келади.
Алгоритм ва passphrase
Ed25519 тавсия этилади, RSA минимум 4096 бит. Passphrase қўшимча шифрлаш — файл ўғирланса ҳам ишламайди.
Ротация
Шахсий калитлар йилда бир, production 6 ойда, CI/CD 90 кунда алмаштирилади. Эски калит authorized_keys дан дарҳол олиб ташланади.
Sayt.uz амалиёт
Барча калитлар Ed25519, passphrase мажбурий, root логин ман, bastion орқали уланиш, Duo two-factor. Ansible билан бошқарилади, ҳар 6 ойда ротация.