web-dev-qa-db-fra.com

Comment gérer une clé ssh personnelle et sécurisée?

J'ai besoin d'une clé ssh personnelle telle que:

  • Je peux sauvegarder un fichier contenant ma clé privée et le restaurer lors d'une nouvelle installation.
  • La clé privée n'est jamais stockée sous une forme non chiffrée, où que ce soit, y compris dans le fichier que je sauvegarde et restaure, mais à l'exception nécessaire de mon RAM pendant que je l'utilise.
  • Une personne ayant un accès physique à ma machine ne peut pas nécessairement utiliser ma clé privée. Je devrais être invité à entrer un mot de passe avant que cela fonctionne, de préférence le mot de passe de mon compte utilisateur.
  • Il n'est pas nécessaire de sauvegarder la clé publique. Je devrais être capable de générer cela à partir de la clé privée (mais j'ai peut-être besoin d'informations suffisantes pour le déchiffrer).

Je sais qu'il existe de nombreuses ressources expliquant comment utiliser les outils de gestion de clés ssh. Cependant, je les trouve assez complexes et il m’est impossible de sauvegarder ma clé privée lors de nouvelles installations. Je préférerais donc beaucoup connaître les meilleures pratiques d’une personne expérimentée qui fait exactement ce que je veux faire.

keyringsssh
14
Vincent Povirk

En passant par vos points:

  • Lorsque vous générez une clé SSH, elle est stockée dans ~/.ssh/ en tant que id_rsa (ou id_dsa). Vous pouvez déplacer ceci de machine en machine à votre guise.

  • Vous pouvez assurer son chiffrement en chiffrant /home/. Il existe plusieurs ensembles d'instructions sur la façon de procéder sur Internet, mais (je ne l'ai jamais fait moi-même), je ne peux honnêtement pas en suggérer un plutôt qu'un autre. Celui sur UbuntuForums semble aussi bon que n'importe quel autre. Cela est plus facile lors d'une nouvelle installation (vous pouvez le faire dans le programme d'installation), mais ce n'est pas obligatoire.

  • Lorsque vous générez votre paire de clés, assurez-vous de définir une phrase secrète. Cela signifie que même si quelqu'un obtient votre clé privée, il a toujours besoin de ce jeton pour l'utiliser.

  • ssh-keygen -e générera votre hachage de clé publique à partir de votre clé privée. Oui, vous n'avez pas besoin de sauvegarder cela (bien que ce ne soit pas difficile à faire non plus - il est stocké sous la forme ~/.ssh/id_rsa.pub).

9
Oli