Как сменить пароль на SSH-ключ

Если вы используете SSH-ключи для доступа к серверам, вы наверняка знаете, насколько важно защитить приватный ключ надёжной парольной фразой. Но что делать, если старый пароль стал вам известен посторонним, показался слишком простым или вы просто ощутили приступ паранойи, отвечая за супер-секретный удалённый сервер? Хорошая новость: сменить пароль SSH-ключа можно легко и без повторной генерации ключевой пары. Вам не придётся заново прописывать публичный ключ на всех хостах - меняется только локальная защита приватного файла.
ssh

Меняем парольную фразу

Для изменения или установки парольной фразы (passphrase) у существующего закрытого ключа предназначена опция -p утилиты ssh-keygen. С её помощью вы можете сменить пароль для любого алгоритма - будь то RSA, Ed25519 или ECDSA.

Общий синтаксис выглядит так:

Если вы вдруг ощутили приступ паранойи и решили установить или поменять пароль на приватный ключ для доступа по SSH, делается всё очень просто. Предположим, ваш ключ лежит в домашней директории пользователя:

Система запросит новый пароль дважды:

Если у ключа уже была парольная фраза, перед этим шагом утилита попросит ввести старую (Enter old passphrase). Как только вы укажете корректный старый пароль и дважды введёте новый, ключ будет сохранён с обновлённой защитой.

Добавление парольной фразы на «голый» ключ

Если ваш приватный ключ до сих пор лежал без пароля, а вы решили усилить безопасность, команда та же:

Вам будет сразу предложено задать новый пароль и подтвердить его. Так вы мгновенно добавляете защиту, не трогая публичную часть.

Что важно знать перед тем, как сменить пароль ssh-ключа

  • Вы меняете именно парольную фразу приватного ключа, а не пароль пользователя на сервере. Сама ключевая пара (криптографические данные) остаётся прежней.
  • Забытый старый пароль лишит возможности изменить фразу. Если не можете вспомнить старый passphrase, остаётся только сгенерировать новую пару ключей и заменить публичный ключ на серверах.
  • Опция -p работает и для установки пароля на ранее незащищённый ключ. В этом случае приглашение Enter old passphrase просто не появится.
  • Пустой новый пароль отключает защиту. Если оставить поле пустым и нажать Enter, ключ будет храниться в открытом виде. Делайте это только в безопасном окружении.

Почему стоит периодически менять пароль SSH-ключа

Регулярная смена passphrase - часть гигиены безопасности. Причины могут быть разными:

  • Старая фраза скомпрометирована или показалась ненадёжной.
  • Вы использовали одинаковый пароль с другими сервисами.
  • Давно не обновляли секреты и ощущаете «приступ паранойи».

Процедура занимает минуту и не требует перенастройки доступа, поэтому пренебрегать ею не стоит.

Комментарии: 0