SSH: Aggiornare la propria chiave RSA

Chi ha generato anni fa una chiave SSH di tipo RSA, magari a 1024 o 2048bit, (o addirittura DSA) per l’autenticazione su server SSH è ormai obbligato ad aggiornare la propria chiave con una più robusta, magari a 4096bit o meglio passare al formato Ed25519.

Il nuovo formato Ed25519 è supportato da OpenSSH 6.5 (Ubuntu 14.04+, Debian 8+, CentOS/RedHat 7+)

Il problema che sorge è nel fatto che sicuramente la chiave pubblica sarà ormai su diversi server e pertanto non si può semplicemente cancellare la vecchia, ma bisogna programmare un periodo di transizione durante il quale si farà l’autenticazione con la precedente chiave e si aggiungerà anche la nuova. Questo però può rendere problematica la connessione, perché bisognerebbe specificare a mano la chiave da usare volta per volta in base al server remoto, oppure impostare la configurazione nel file .ssh/config. Ci viene in aiuto il comando ssh-add per gestire l’autenticazione in automatico con diverse chiavi.

Ma vediamo la procedura da fare per:
1 – fare una copia della precedente chiave RSA
2 – generare una nuova chiave RSA a 4096
3 – generare una nuova chiave Ed25519
4 – configurare il sistema per provare in automatico le tre per l’autenticazione

mv ~/.ssh/id_rsa ~/.ssh/id_rsa_legacy
mv ~/.ssh/id_rsa.pub ~/.ssh/id_rsa_legacy.pub

ssh-keygen -t rsa -b 4096 -o -a 100 -C "indirizzo@email"

ssh-keygen -o -a 100 -t ed25519 -C "indirizzo@email"

ssh-add ~/.ssh/id_rsa ~/.ssh/id_rsa_legacy ~/.ssh/id_ed25519

Bene, ora effettuando la connessione SSH ad un server remoto, verrà fatta in automatico l’autenticazione in base ad una delle chiavi trovate nell’elenco passato ad ssh-add.

Per aggiornare la chiave ssh sul server, potremo effettuare dal client, per ogni server:
ssh-copy-id -i ~/.ssh/id_ed25519 user@server

ed infine dovremo procedere col cancellare la vecchia entry, dopo aver verificato che la nuova funzioni correttamente, nel file ~/.ssh/authorized_keys di ogni server.

enjoy!

Se hai trovato utili le informazioni su questo blog,
Fai una donazione!
Clicca sul bottone qui sotto o almeno clicca sul banner pubblicitario 🙂



Taggato su: , , , ,

Commenta