Dans la deuxième partie de votre question, vous semblez inquiet du vol de votre ordinateur portable et, avec lui, de vos clés privées pour votre connexion SSH sans mot de passe à vos serveurs.
Veuillez noter que cela peut être facilement résolu (le problème des clés privées) en stockant les clés privées "chiffrées" avec une "phrase secrète": elles peuvent être chiffrées initialement, tout en générant avec l' utilitaire ssh-keygen , en fournissant une phrase secrète à la fin de le processus de génération ou, si vous les avez déjà non encrypté, en utilisant l' utilitaire ssh-keygen avec -p
option. Une fois la clé cryptée, à chaque connexion, vous êtes invité à saisir la phrase secrète associée et ... si elle est correcte, tout se déroulera normalement.
De plus, si vous ne voulez pas entrer la phrase secrète à chaque lancement du client ssh, vous pouvez utiliser l' agent ssh : il peut garder une trace, en mémoire, des clés privées non chiffrées. Vous pouvez simplement exécuter ssh-add pointant vers le fichier contenant la clé cryptée et, après avoir demandé la phrase secrète, la clé est ajoutée à l'ensemble géré par ssh-agent. Ensuite, chaque fois que le client SSH requiert une clé protégée par une phrase secrète, l'agent ssh fournit de manière transparente la clé privée non chiffrée associée au client ssh. Donc, pour vous, il n'est pas nécessaire de le saisir de manière interactive.
Veuillez noter que ssh-agent peut gérer de nombreuses clés, et vous pouvez évidemment "régler" votre ordinateur portable / bureau pour lancer l' ssh-add
utilitaire (pour remplir le jeu de clés ssh-agent) au moment de la connexion / démarrage.
De plus, si quelqu'un vole votre ordinateur portable, vos clés privées ne sont probablement pas le seul contenu "sensible" que vous allez donner: veuillez noter qu'avec les distributions de bureau Linux d'aujourd'hui, il est TRÈS facile de configurer un ordinateur portable en s'appuyant sur "crypté" "système de fichiers ( /home
comme entrée, mais le tout /
si nécessaire). Alors, s'il vous plaît, considérez cela aussi.
Tout ce qui précède, évidemment, ne s'applique PAS si vous ne comptez PAS sur VOTRE PROPRE bloc-notes.
PS: quant à votre possibilité de stocker les deux moitiés de la clé privée non cryptée sur différents supports: je vous conseille fortement de ne pas le faire, car maintenir les deux morceaux de contenu sensible sous une forme non cryptée est beaucoup, bien pire, que de garder deux des copies complètes de tout le contenu, cryptées!