Comment gérer une clé ssh personnelle sécurisée?

14

J'ai besoin d'une clé ssh personnelle telle que:

  • Je peux sauvegarder un seul fichier contenant ma clé privée et le restaurer lorsque je fais une nouvelle installation.
  • La clé privée n'est jamais stockée sous forme non chiffrée, y compris dans le fichier que je sauvegarde et restaure, mais à l'exception nécessaire de ma RAM pendant que je l'utilise.
  • Une personne disposant d'un accès physique à ma machine ne peut pas nécessairement utiliser ma clé privée. Je devrais être tenu de saisir un mot de passe avant que cela fonctionne, de préférence le mot de passe de mon compte d'utilisateur.
  • Il n'est pas nécessaire de sauvegarder la clé publique. Je devrais être capable de générer cela à partir de la clé privée (mais j'ai peut-être besoin d'informations suffisantes pour le déchiffrer).

Je sais qu'il existe de nombreuses ressources expliquant comment utiliser les outils de gestion de clés ssh. Cependant, je les trouve assez complexes et je me suis avéré incapable de sauvegarder ma clé privée lors de nouvelles installations dans le passé. Donc, je préfère de loin entendre certaines des meilleures pratiques de quelqu'un ayant de l'expérience et faisant exactement ce que je veux faire.

Vincent Povirk
la source

Réponses:

9

En passant par vos points:

  • Lorsque vous générez une clé SSH, il est stocké dans ~/.ssh/comme id_rsa(ou id_dsa). Vous pouvez le déplacer d'une machine à l'autre comme vous le souhaitez.

  • Vous pouvez assurer son cryptage en cryptant /home/. Il existe plusieurs ensembles d'instructions sur la façon de le faire sur Internet, mais (n'ayant jamais fait cela moi-même), je ne peux honnêtement pas suggérer l'un sur l'autre. Celui sur UbuntuForums semble aussi bon que n'importe quel autre. Faire cela sur une nouvelle installation est plus facile (vous pouvez le faire dans le programme d'installation) mais ce n'est pas obligatoire.

  • Lorsque vous générez votre paire de clés, assurez-vous de définir une phrase secrète. Cela signifie que même si quelqu'un obtient votre clé privée, il a toujours besoin de ce jeton pour l'utiliser.

  • ssh-keygen -egénérera votre hachage de clé publique à partir de votre clé privée. Oui, vous n'avez pas besoin de sauvegarder cela (bien que ce ne soit pas difficile non plus - il est stocké sous ~/.ssh/id_rsa.pub).

Oli
la source
La définition d'un mot de passe ne compte-t-elle pas comme le cryptage de la clé?
Vincent Povirk
@Vincent Sorte de, bien sûr. Je ne sais pas à quel point vous êtes paranoïaque. Si vous souhaitez minimiser les chances que quelqu'un d'autre prenne la clé, collez-la dans une partition chiffrée. Si vous êtes satisfait que les gens puissent l'obtenir (s'ils obtiennent un accès physique), mais que vous ne pouvez pas l'utiliser sans mot de passe, vous pouvez ignorer cette étape.
Oli