ssh-keygen med eller utan passphrase

Trädvy Permalänk
Medlem
Registrerad
Feb 2003

ssh-keygen med eller utan passphrase

Vill automatisera secure copy med ett script och har förstått att ssh-keygen kan användas för att skapa en nyckel. Om jag vill undvika lösenord(passphrase) vilket fungerar dåligt i script så måste jag väl använda empty passphrase när jag skapar nycklarna? Eller?
Vad är risken med att inte ange en passphrase? Enda nackdelen är väl om någon kommer åt nycklarna, eller hur?
Kör debian.

Trädvy Permalänk
Medlem
Plats
irc
Registrerad
Dec 2004

Du har nog fått det lite om bakfoten med ssh-nycklar.
Är en hel vetenskap, här är dock en bra guide:
http://gentoo-wiki.com/SECURITY_SSH_without_a_password

Behind every great fortune there is a crime. - Honoré de Balzac
simonb @ irc

Trädvy Permalänk
Medlem
Registrerad
Jan 2002

Re: ssh-keygen med eller utan passphrase

Citat:

Ursprungligen inskrivet av perund
Vill automatisera secure copy med ett script och har förstått att ssh-keygen kan användas för att skapa en nyckel. Om jag vill undvika lösenord(passphrase) vilket fungerar dåligt i script så måste jag väl använda empty passphrase när jag skapar nycklarna? Eller?
Vad är risken med att inte ange en passphrase? Enda nackdelen är väl om någon kommer åt nycklarna, eller hur?
Kör debian.

Du verkar ha förstått det hela väldigt bra.

Trädvy Permalänk
Medlem
Registrerad
Feb 2003

Jag var nog lite otydlig. har ett script som utför backup och kopierar till en klient från en serverdator. För att slippa lösenordsinloggning så har jag skapat nycklar med ssh-keygen osv. Min fråga var om det är dumt att inte använda ngn passphrase då man skapar nycklarna. Nog om detta det har löst sig iaf.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Okt 2006

Nackdelen med att inte använda passphrase på nycklarna är ju att säkerheten bara blir så hög som den är för filsystemet på maskinen, kommer någon annan över nycklarna kan de även logga in på kontot som de går till.

Detta går dock att begränsa i ssh genom att i confen koppla nycklar med IP eller hostname.

"Stallman to Dvorak: Welcome to freedom, your rulebook is in the mail" - Fake Steve Jobs
rfc-1925 - The Twelve Networking Truths

Trädvy Permalänk
Medlem
Registrerad
Feb 2003

"Detta går dock att begränsa i ssh genom att i confen koppla nycklar med IP eller hostname."

Finns det någon guide till detta?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Okt 2006
Citat:

Ursprungligen inskrivet av perund
"Detta går dock att begränsa i ssh genom att i confen koppla nycklar med IP eller hostname."

Finns det någon guide till detta?

Har du läst manualen för sshd, ologiskt nog nämns det där.

"Stallman to Dvorak: Welcome to freedom, your rulebook is in the mail" - Fake Steve Jobs
rfc-1925 - The Twelve Networking Truths

Trädvy Permalänk
Medlem
Plats
irc
Registrerad
Dec 2004

Tror jag missförstod frågan i början. Men kan inte lösa sökerhetsbiten en del i alla fall med hjälp av ssh-agens?

Behind every great fortune there is a crime. - Honoré de Balzac
simonb @ irc

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Okt 2006

nej inte helt automatiskt då du någon gång måste logga in antingen i ssh-agent eller låsa upp nycklarna, det går ju iofs att scripta med expect men då är ju lösenordet i scriptet istället så ingen skillnad.

"Stallman to Dvorak: Welcome to freedom, your rulebook is in the mail" - Fake Steve Jobs
rfc-1925 - The Twelve Networking Truths