Utilizzo della autenticazione a chiave pubblica con ssh

Arrigo Marchiori ardovm a yahoo.it
Gio 5 Giu 2008 20:31:57 CEST


Innanzitutto salve a tutti.

È il mio primo messaggio su una delle liste dei GUFI, quindi mi
presento molto brevemente: sono un ingegnere elettronico (laureato da
poco), linuxaro per passione (membro del LUGRoma), da qualche mese
utente FreeBSD per... divertimento, e forse anche per lavoro.

On Thu, Jun 05, 2008 at 07:13:20PM +0200, Alberto Rizzi wrote:

> Ho due computer (client) entrambe dual boot FreeBSD e Xp.
> Ho inoltre un account ssh su due altri computer (server) e ho la necessità 
> di collegarmi a questi due server da entrambe i pc e da entrambe gli OS, 
> utilizzando l'autenticazione mediante chiave pubblica, via ssh.
>
> Quale è la politica migliore per la creazione delle chiavi?
> Creo una coppia pubblica/privata e distribuisco la privata sui due server e 
> la pubblica sulle 4 installazioni?

...vuoi dire la pubblica sui server e la privata sui client?

Quando ti colleghi a un server, sul server dovresti mettere la chiave
pubblica (nel file ~/.ssh/authorized_keys), e tenere la privata dentro
al client _da_ cui ti colleghi.

> Oppure creo 4 coppie pubblica/privata, in modo che ogni installazione abbia 
> la sua copia?
>
> Oppure qualcosaltro?
>
> Normalmente, una coppia di chiavi, cosa identifica? Una macchina client? Un 
> utente su un server? 

Per quello che ne so io, una coppia di chiavi identifica una
possibilità di accesso ad un account utente. E hai grande libertà:

 - un account può permettere l'accesso a più chiavi diverse,
 - più account possono permettere l'accesso alla stessa chiave.

L'unica limitazione, credo, è che un utente può avere una sola chiave
_privata_, di solito in ~/.ssh/id_rsa. O, comunque, è scomodo gestirne
più di una.

> Voi di solito come vi comportate?

Fossi in te, farei una chiave per ogni coppia (computer, sistema
operativo), e metterei le 4 chiavi pubbliche in entrambi i server, su
tutti gli utenti che ti servono. Così hai distinto i vari client, e
ciascun client si può collegare a entrambi i server.

Oppure, potresti fare una sola coppia di chiavi e copiare la privata
su i vari client.

Io ne faccio un discorso di comodità... forse esiste qualche motivo
teorico per cui una scelta è più sicura di un'altra.

> Inoltre, queste chiavi, le creo DSA o RSA? Ovviamente stiamo parlando di 
> versione 2 del protocollo.

Il default è RSA... io mi sono sempre fidato. ;-)

-- 
rigo

http://rigo.altervista.org


Maggiori informazioni sulla lista Varie