* Wednesday 14 December 2011, alle 09:27, Francesco Bolzoni scrive:
> Accesso con chiave ?
> Al primo accesso, ssh scarica una chiave e poi chiede la password.
> E' quello l'accesso con chiave ?
No. Allora, mini vademecum in merito (sarò breve, in rete ci sono più
dettagli).
Tu puoi autenticarti a ssh con due modalità (non necessariamente
mutualmente esclusive ma è meglio dopo vedi il perchè) con password
challenge interattiva o mediante autenticazione con chiave personale.
La seconda è di gran lunga migliore perchè non è "indovinabile",
semplicemente se hai la parte "privata" della tua chiave entri, se no
ciccia.
Per fare questo, di nuovo "brevemente":
1. generi la tua coppia chiave privata/pubblica (ssh-keygen)[1]
ti chiederà una passphrase. Questa passphrase POI sbloccherà la privata.
Sta a te decidere se inserirla o no. (io la uso).[2]
2. esporti la parte pubblica della tua chiave, nella home del tuo utente
su macchina remota in apposita directory. Detta cosi fa schifo, ma c'è
il comodo: ssh-copy-id[3]
3. fai ssh sul server. modifichi la configurazione di sshd perchè NON
accetti più il password challenge ma SOLO l'accesso mediante chiave.
l'opzione in sshd_config è
PasswordAuthentication no
e riavvii sshd.
Da adesso accedono _SOLO_ gli utenti che hanno fatto i passi 1 e 2.
caveat:
- con una coppia priv/pub di chiavi, accedi a tutti i server che
vuoi purchè tu abbia esportato la pub su di essi
- se non metti passphrase fa login automaticamente (tieni presente a chi
accede fisicamente alla macchina che contiene la parte priv)
- se metti la passphrase, usa "ssh-add" per "aggiungere" l'identità,
cosi ti chiede la passphrase subito e vale per tutta la sessione di
login (finchè non fai logout dal tuo sistema)
- se non hai macchine "client" fisse ma vuoi collegarti a quel server da
"dove ti pare" devi avere la chiave con te. Questo può essere un
limite (e in questo caso la passphrase è obbligatoria).
[1]
scegli l'algoritmo che preferisci con ssh-keygen -t dsa o -t rsa.
default rsa. io preferisco l'altro
[2]
vedi i caveat.
[3]
Sostanzialmente "appende" la parte pubblica della tua chiave nel file
.ssh/authorized_keys nella tua home. Ovviamente puoi appenderne N.
Questo significa che puoi sia fare una coppia per ogni "computer" client
(il fisso, il portatile, ecc.) sia una sola coppia e copiarla in giro
(di nuovo occhio che la parte privata è la parte delicata di tutto
questo discorso).
--
Maurizio - Tannoiser - Lemmo
Founder Member of ERLUG http://erlug.linux.it
-------------------------------------------------------------------------------
Book: You were victimized, Wash was assaulted, and then Inara found you here.
Inara: And then I fell and hit my head. Like Wash.
-- Our Mrs. Reynolds
|