View previous topic :: View next topic |
Author |
Message |
ScolaBirra Apprentice
Joined: 31 Mar 2003 Posts: 180 Location: Lausanne, Switzerland
|
Posted: Thu Sep 11, 2003 12:51 pm Post subject: [tips & tricks] keychain |
|
|
Avvertenza: mi sembrava di averlo postato ieri, ma non trovandolo nel forum lo riposto... in caso di errore vi prego di scusarmi.
Ho scoperto keychain ed e' una figata se avete piu' macchine a cui vi collegate con ssh... in pratica vi permette di non dover piu' inserire la password quando vi loggate! Funziona anche con shfs
http://www.gentoo.org/proj/en/keychain.xml
Ciao
Scola _________________ Smile, tomorrow will be worse! |
|
Back to top |
|
|
fedeliallalinea Administrator
Joined: 08 Mar 2003 Posts: 31284 Location: here
|
Posted: Thu Sep 11, 2003 1:26 pm Post subject: |
|
|
C'e' un'altro metodo senza dover installare alcun pacchetto.
Code: | Puoi creare una chiave RSA per poter accedere al sito remoto dal tuo account, senza avere bisogno di inserire la password.
Nota che una volta che tutto ciò è configurato, se un estraneo si inserisce sul tuo account avrà accesso anche ai sistemi remoti ai quali hai accesso! Per questo motivo è meglio che questo non sia fatto da mai root.
* Esegui ssh-keygen sulla tua macchina e premi return quando ti è chiesta la password.
Con le vecchie versioni di SSH, questo avrebbe generato ~/.ssh/identity.pub; con le nuove genererà ~/.ssh/id_rsa.pub.
* Successivamente aggiungi il contenuto del file summenzionato in ~/.ssh/authorized_keys sul sito remoto (il file deve essere protetto con modalità 600).
Dovresti adesso avere la possibilità di utilizzare ssh per collegarti al sistema remoto senza che ti sia richiesta la password. |
Preso da http://debian.org.hk/devel/passwordlessssh.it.html _________________ Questions are guaranteed in life; Answers aren't. |
|
Back to top |
|
|
Ginko Guru
Joined: 01 May 2002 Posts: 371 Location: nearby my linux laptop
|
Posted: Thu Sep 11, 2003 1:43 pm Post subject: |
|
|
E c'e' ancora un altro modo per connettersi via SSH senza immettere password e senza diminuire la sicurezza : usare l'agente SSH.
Code: | $ man ssh-agent
SSH-AGENT(1) BSD General Commands Manual SSH-AGENT(1)
NAME
ssh-agent - authentication agent
SYNOPSIS
ssh-agent [-a bind_address] [-c | -s] [-t life] [-d] [command [args ...]]
ssh-agent [-c | -s] -k
DESCRIPTION
ssh-agent is a program to hold private keys used for public key authenti-
cation (RSA, DSA). The idea is that ssh-agent is started in the begin-
ning of an X-session or a login session, and all other windows or pro-
grams are started as clients to the ssh-agent program. Through use of
environment variables the agent can be located and automatically used for
authentication when logging in to other machines using ssh(1).
|
PS. Sono tornato oggi da 2 settimane di fuoco in giro per l'Europa a provare soluzioni di archiviazione dati nearline. Ho visto un paio di sistemi su Linux ma purtroppo niente che si avvicini a SAM-FS di LSC/Sun, voi conosciete qualche alternativa?
Saluti
--Gianluca |
|
Back to top |
|
|
ScolaBirra Apprentice
Joined: 31 Mar 2003 Posts: 180 Location: Lausanne, Switzerland
|
Posted: Thu Sep 11, 2003 1:48 pm Post subject: |
|
|
fedeliallalinea wrote: | C'e' un'altro metodo senza dover installare alcun pacchetto.
|
M'era venuto il dubbio che fosse possibile, visto che sono riuscito a fare il tutto anche su di una stazione sun senza keychain...
Vabbe'...
Ciao
Scola _________________ Smile, tomorrow will be worse! |
|
Back to top |
|
|
leon_73 Guru
Joined: 13 Mar 2003 Posts: 505 Location: Milano
|
Posted: Fri Sep 12, 2003 2:30 pm Post subject: |
|
|
Il problemi sono 2.
1) Se non metti la pwd come e' stato fatto giustamente notare, se qualcuno accede al tuo account, poi potra' accedere anche alle altre macchine.... e qui la sicurezza di va a farsi benedire
2) ssh-agent ha il problema che devi lanciarlo a manina ogni volta che apri una shell. Con Keychain, se ho capito bene, lo lanci una volta e basta. Per tutte le shell usa un agente.
Leo |
|
Back to top |
|
|
shev Bodhisattva
Joined: 03 Feb 2003 Posts: 4084 Location: Italy
|
Posted: Fri Sep 12, 2003 4:55 pm Post subject: |
|
|
Non barattate la sicurezza con una misera comodità in più, cosa ci vuole a inserire una password... io la inserisco anche per montare i cd (e uso password di minimo 16 tra caratteri, numeri e simboli vari).
"Bhe, ma sui pc di casa che me frega" direte voi. La sicurezza è uno stato mentale, fatelo vostro cominciando dalle piccole cose...
Shev ha parlato, AUGH!
_________________ Se per vivere ti dicono "siediti e stai zitto" tu alzati e muori combattendo |
|
Back to top |
|
|
paolo l33t
Joined: 23 Jul 2002 Posts: 768 Location: SBT (AP)
|
Posted: Fri Sep 12, 2003 7:39 pm Post subject: |
|
|
Shev wrote: | ... io la inserisco anche per montare i cd (e uso password di minimo 16 tra caratteri, numeri e simboli vari).
|
Ah, è vero! Tu sei il sysadmin che come firewall usa scollegare l'rj45
Io in vita mia avrò scritto "ssh -l -p (cambio la porta!) ecc. ecc." almeno una 20ina di volte al giorno (lavorativo). Quindi la penso come te e sottoscrivo!!!
Paolo _________________ Nihil sine magno labore |
|
Back to top |
|
|
cerri Bodhisattva
Joined: 05 Mar 2003 Posts: 2957 Location: # init S
|
Posted: Sat Sep 13, 2003 10:14 am Post subject: |
|
|
Il fatto di usare la chiave, cmq, e' piu' sicuro di una password.
Perche'?, direte voi!
Perche' e' piu' difficile "rubare" una chiave che una password... _________________ Enjoy your freedom.
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
<----------------------->
Andrea Cerrito |
|
Back to top |
|
|
shev Bodhisattva
Joined: 03 Feb 2003 Posts: 4084 Location: Italy
|
Posted: Sat Sep 13, 2003 10:41 am Post subject: |
|
|
cerri wrote: |
Perche' e' piu' difficile "rubare" una chiave che una password... |
Infatti mi riferivo ai primi metodi, quelli orientati alla comodità. E' solo un caso che sia stato mandato dopo il post su ssh-agent
(anche se sul "rubare" più o meno facile avrei dei dubbi... ) _________________ Se per vivere ti dicono "siediti e stai zitto" tu alzati e muori combattendo |
|
Back to top |
|
|
Ginko Guru
Joined: 01 May 2002 Posts: 371 Location: nearby my linux laptop
|
Posted: Mon Sep 15, 2003 2:40 pm Post subject: |
|
|
leon_73 wrote: |
2) ssh-agent ha il problema che devi lanciarlo a manina ogni volta che apri una shell. Con Keychain, se ho capito bene, lo lanci una volta e basta. Per tutte le shell usa un agente.
|
Cio' non e' vero se fai partire ssh-agent da .kde/Autostart (ad esempio). Tutte le console fatte partire sotto KDE ereditano i settaggi delle variabili d'ambiente di ssh-agent.
Nel caso non si usasse KDE o comunque non si volesse/potesse usare una shell che erediti le variabili necessari a ssh-agent, e' sufficiente lasciar scrivere l'output di ssh-agent su un file (ad esempio ssh-agent.info) e leggere (source) questo file all'avvio di ogni shell (ad esempio tramite .bashrc script).
In particolare, per i cronjob in cui si rende necessario il login automatico senza password e' sufficiente che ssh-agent giri e che gli sia stata comunicata la passphrase (una volta sola, sino a reboot del sistema) tramite ssh-add. Lo script non deve fare altro che leggere il file ssh-agent.info per poter accedere all'agente e quindi al sistema remoto senza password e, cosa piu' importante ancora, senza diminuzione della sicurezza.
Saluti
--Gianluca |
|
Back to top |
|
|
|