SMsoft – informatica e dintorni

SSH: Aggiornare la propria chiave RSA

Chi ha generato anni fa una chiave SSH di tipo RSA, magari a 1024 o 2048bit, (o addirittura DSA) per l’autenticazione su server SSH è ormai obbligato ad aggiornare la propria chiave con una più robusta, magari a 4096bit o meglio passare al formato Ed25519.

Il nuovo formato Ed25519 è supportato da OpenSSH 6.5 (Ubuntu 14.04+, Debian 8+, CentOS/RedHat 7+)

Il problema che sorge è nel fatto che sicuramente la chiave pubblica sarà ormai su diversi server e pertanto non si può semplicemente cancellare la vecchia, ma bisogna programmare un periodo di transizione durante il quale si farà l’autenticazione con la precedente chiave e si aggiungerà anche la nuova. Questo però può rendere problematica la connessione, perché bisognerebbe specificare a mano la chiave da usare volta per volta in base al server remoto, oppure impostare la configurazione nel file .ssh/config. Ci viene in aiuto il comando ssh-add per gestire l’autenticazione in automatico con diverse chiavi.

Ma vediamo la procedura da fare per:
1 – fare una copia della precedente chiave RSA
2 – generare una nuova chiave RSA a 4096
3 – generare una nuova chiave Ed25519
4 – configurare il sistema per provare in automatico le tre per l’autenticazione

Bene, ora effettuando la connessione SSH ad un server remoto, verrà fatta in automatico l’autenticazione in base ad una delle chiavi trovate nell’elenco passato ad ssh-add.

Per aggiornare la chiave ssh sul server, potremo effettuare dal client, per ogni server:
ssh-copy-id -i ~/.ssh/id_ed25519 user@server

ed infine dovremo procedere col cancellare la vecchia entry, dopo aver verificato che la nuova funzioni correttamente, nel file ~/.ssh/authorized_keys di ogni server.

enjoy!




Se hai trovato utili le informazioni su questo blog,
Fai una donazione!
Clicca sul bottone qui sotto o almeno clicca sul banner pubblicitario :-)
*
Taggato su: , , , ,

Commenti

Page optimized by WP Minify WordPress Plugin