Une autre solution, renforcer la sécurité tout en vous simplifiant la tâche, vous évitant ainsi de saisir votre mot de passe à tout moment:
Si vous souhaitez chiffrer votre clé privée, vous pouvez utiliser ssh-agent
sur votre poste de travail pour «mettre en cache» la clé non chiffrée. lorsque vous souhaitez stocker votre clé déchiffrée, vous exécutez ssh-add ~/.ssh/id_rsa
ou quel que soit le nom de votre clé privée. le mot de passe vous sera demandé et la clé déchiffrée sera disponible pour vos connexions SSH jusqu'à ce que vous vous déconnectiez, que vous mettiez fin à vos activités ou que vous vous ssh-agent
arrêtiez.
vous pouvez utiliser kill
les clés stockées avec ssh-agent -k
et vous pouvez attribuer une durée de vie pour que la clé soit en mémoire avec ssh-agent -t [seconds]
ainsi par exemple; Si vous ne voulez pas garder votre clé déchiffrée pour toujours, mais que vous voulez faire beaucoup de ssh-ing autour de vos hôtes, vous pouvez définir un délai d'expiration de 5 à 10 minutes. vous n'avez donc pas à saisir en permanence le mot de passe de votre clé.
encore une fois, tout cela a à voir avec votre confiance en la sécurité de votre / workstation /, qui, si vous êtes le seul à y avoir accès, et que vous avez un mot de passe local assez sécurisé, et vous ne le faites pas. invitez des exploits et des rootkits sur vous-même, votre clé privée sans phrase secrète est raisonnablement sécurisée.
si vous êtes comme moi et que vous gardez votre clé privée sur une clé USB, vous allez certainement vouloir la chiffrer, même s'il ne s'agit que d'une clé privée (une clé distincte que j'utilise sur mon poste de travail, donc si je perds ma clé, je peux facilement supprimer la clé publique de la clé USB de la ~/.ssh/authorized_keys
liste de mon serveur , ce qui entraîne également une / excellente / raison d'ajouter des commentaires UTILES à vos clés publiques)
Dans votre réponse à une réponse précédente, vous avez indiqué que seules les personnes de confiance ont accès à la machine avec les clés. Je tiens simplement à préciser que votre clé privée NE doit PAS obligatoirement se trouver sur le serveur auquel vous vous connectez, au cas où vous le feriez. seule votre clé publique doit être sur le serveur, ce qui ne pose aucun problème, raison pour laquelle il s'agit d'une clé "publique".
oh, j'ai oublié de mentionner; Je lance ssh-agent
quand je lance X, sinon les clés décryptées que je stocke avec ssh-add
ne sont pas conservées au cours de xterm
sessions différentes , et je dois ressaisir le mot de passe chaque fois que je ferme le xterm
i lancé ssh-add
dans. Dans mon ~/.xinitrc
dossier, j'ai:
if [ -x /usr/bin/ssh-agent ]; then
eval $(/usr/bin/ssh-agent)
fi
J'ai l'appel à être ssh-agent
intégré eval
car ssh-agent renvoie certaines variables d'environnement qui doivent être définies lors de son exécution et s'exécutent à partir de ~/.xinitrc
, les variables d'environnement sont constantes tout au long de la session X.