Comment pouvez-vous modifier l'emplacement par défaut du dossier .ssh

10

Toutes les clés SSH de mon Uni ont été volées. Les administrateurs Sys ont décidé de supprimer tous les dossiers .ssh et de déplacer les fichiers vers un dossier dont je ne peux pas nommer le nom.

Je suis intéressé par la façon dont les administrateurs système ont modifié le dossier de clés SSH par défaut.

Comment pouvez-vous remplacer le dossier par défaut ~ / .ssh par le dossier ~ / TopSecret /, de sorte que mon ordinateur détecte que les clés se trouvent dans un nouveau dossier?

anon
la source

Réponses:

12

Jetez un œil à sshd_config (5) et éditez /etc/ssh/sshd_config. Notez que le chemin des fichiers de configuration pertinents est défini pour chaque fichier individuellement (c'est-à-dire qu'il ne s'agit pas simplement de changer la chaîne .sshen quelque chose d'autre au même endroit dans le fichier de configuration).

Quoi qu'il en soit, le paramètre que vous recherchez est AuthorizedKeysFile.

Stephan202
la source
1
A partir des pages de manuel openssh sshd_config: AuthorizedKeysFile. Spécifie le fichier qui contient les clés publiques qui peuvent être utilisées pour l'authentification des utilisateurs. AuthorizedKeysFile peut contenir des jetons de la forme% T qui sont substitués lors de la configuration de la connexion. Les jetons suivants sont définis: %% est remplacé par un littéral '%',% h est remplacé par le répertoire personnel de l'utilisateur authentifié et% u est remplacé par le nom d'utilisateur de cet utilisateur. Après l'expansion, AuthorizedKeysFile est considéré comme un chemin absolu ou relatif au répertoire personnel de l'utilisateur. La valeur par défaut est `` .ssh / authorized_keys ''.
samt
4

Pour réduire l'impact de la divulgation de la clé privée, il est conseillé de crypter par mot de passe la clé elle-même. Des attaques par force brute hors ligne sur des clés spécifiques sont toujours possibles, mais cela jette une clé à quelqu'un qui s'en tire avec une cargaison de clés d'utilisateur.

Une autre option - si le chiffrement n'est pas possible - est de restreindre l'utilisation de la clé ssh à des adresses IP spécifiques. Utilisation de cette syntaxe dans la clé publique ajoutée au serveur distant. from="ipaddress1,ipaddress2" ssh-rsa ... Cela signifie que dans le cas de quelqu'un qui vole ces clés, elles seront inutiles si elles sont utilisées à partir d'un autre serveur (avec une IP différente).

Plus précisément, vous ne devez pas stocker de clés privées de valeur sur tout ce que vous ne contrôlez pas. Pour se connecter à un serveur, le stockage de la clé publique sur le serveur est suffisant.

Javi
la source
2

Vous pouvez renommer des dossiers avec la commande "mv". Vous pouvez donc renommer TopSecret en .ssh par "mv TopSecret .ssh".

Les administrateurs peuvent contrôler où le sshd recherche vos clés en modifiant le paramètre AuthorizedKeysFile du fichier / etc / ssh / sshd_config. Tu ne peux pas changer ça.

Macker
la source