Ssh-keygen automatisé sans phrase secrète, comment?

J'aimerais créer un script automatisé qui appelle ssh-keygenet crée des paires de clés publiques / privées que j'utiliserai plus tard. En principe, tout fonctionne bien avec ...
ssh-keygen -b 2048 -t rsa -f /tmp/sshkey -q
... sauf que cela me demande la phrase secrète qui chiffrerait les clés. Cela rend difficile l'automatisation.

Je pourrais fournir une phrase secrète via l'argument de ligne de commande -N thepassphrase, afin d'éviter que l'invite n'apparaisse. Malgré tout, je ne souhaite même pas que les clés - en plus sécurisées par un cryptage - et que les paires de clés soient en texte clair.

Quelle est la meilleure solution à ce problème?

L' -qoption supposée signifier "calme / silencieux" n'évite toujours pas l'interaction phrase secrète. Aussi je n'ai pas trouvé quelque chose comme ça
ssh-keygen ...... -q --no-passphrase

S'il vous plait, ne commencez pas à prêcher et ne faites pas la leçon aux avantages et inconvénients de la "phrase secrète manquante", j'en suis conscient. Dans le formulaire interactif (pas en tant que script), l'utilisateur peut simplement appuyer sur [ENTRER] deux fois et la clé sera sauvegardée en texte brut. C'est ce que je veux réaliser dans un script comme celui-ci:

#! / bin / bash

commande1
commande2
var = $ (commande3)

# cela ne devrait pas arrêter le script et demander un mot de passe
ssh-kegen -b 2048 -t rsa -f / tmp / sshkey -q

Cela empêchera l'invite de phrase secrète d'apparaître et configurera la paire de clés pour qu'elle soit stockée en texte brut (ce qui bien sûr comporte tous les inconvénients et risques de cela):

ssh-keygen -b 2048 -t rsa -f /tmp/sshkey -q -N ""

La façon la plus simple que j'ai trouvée de faire ce que vous voulez est la suivante (exemple avec le nom de fichier par défaut)

    cat /dev/zero | ssh-keygen -q -N ""

Si le ~/.ssh/id_rsafichier existe déjà, la commande se fermera sans rien modifier.

Sinon, vous obtenez une nouvelle clé, dans ce nom de fichier.

Quoi qu'il en soit, vous n'avez rien écrasé et vous savez qu'à la fin, vous avez une clé.

Cela a fonctionné pour moi:

ssh-keygen -t rsa -f /home/oracle/.ssh/id_rsa -q -P ""

Le -Pest l'option de phrase secrète, et ""est la phrase secrète vide.

Vous pouvez utiliser s'attendre à envoyer le "entrer" pour vous

cat test.sh
#!/bin/bash
set -x
XYZ=$(expect -c "
spawn ssh-keygen -b 2048 -t rsa -f /tmp/sshkey -q
expect \"Enter passphrase (empty for no passphrase):\"
send \"\r\"
expect \"Enter same passphrase again:\"
send \"\r\"
")

Sachez toutefois que si le fichier / tmp / sshkey existe déjà, il échouera car le résultat de la commande sera différent.

J'ai fait un simple écho avant ssh-keygen. Alorssu - <user> -c "echo |ssh-keygen -t rsa"

Cela a été testé sur Redhat 6

Pour un autre utilisateur, testé sur Ubuntu 18.04:

sudo -u username bash -c "ssh-keygen -f /tmp/sshkey -N ''"