YubiKeyの予備キー

  • 3
    Like
  • 2
    Comment

SSHの鍵管理などにYubiKeyを導入して、便利に活用していたのですが、予備の鍵が必要だと感じたので購入することにしました。

必要だと思った理由

YubiKeyを使いだして以来、全ての鍵をYubiKeyへ寄せるようになりました。そうしてしばらくの時間が過ぎたのですが、今になって予備の必要性を感じだしたのには、以下の2つの理由があります。

単一障害点

「すべての鍵を寄せた」代償として、「YubiKeyを壊したりなくしたりすればログイン不可能となってしまう」ということがあります。はじめのうちはそう多くなかったのですが、次第に「YubiKeyしか鍵を設定していない」ものが出だして、「このままだとまずい」と思い始めました。

証明書が切れる

SSH鍵として使うためにYubiKeyで証明書を作成しますが、この証明書には期限があって、しかも更新ができなさそうなので、期限が切れれば鍵を作り直しとなってしまいます。そんなこともあって、最初に作った鍵の証明書の期限(1年)が迫ってきた最近になって「せっかく再設定が必要になるのなら」ということで、予備のYubiKeyを用意することにしました。

複数使う場合の設定

SSH鍵は~/.ssh/authorized_keysにいくつでも書けるので、新しい鍵を追加することは特に問題ありません。

そして、Googleの2要素認証でも鍵を複数本セットできるので、こちらも問題なく設定を完了しました(モバイルでの運用などを考え、さらに別な要素でも認証できるようにしてあります)。

おまけ

いざトラブルに見舞われてしまうと、気も動転しますし、普段できていることすらうまくできなくなるかもしれません。「予備の方法」も普段と合わせておけば、緊急時の対応もそこまで焦らずに済むことでしょう。