ssh sin claves

Federico Petronio petrus en activesec.biz
Sab Jul 10 06:56:04 CLT 2004 

Cristian Gutierrez wrote:

>rodrigo ahumada wrote:
>  
>
>>hola y gracias por cualquier ayuda.
>>Tengo tres maquinas y necesito que puedan entrar por ssh entre ellas
>>sin claves, usando keygen, he probado con 2 maq.: consigo (A con B),(B
>>con A),(A con C),(C con A) --> y con esto deja de funcionar (A con B).
>>    
>>
>
>[...]
>
>Estas trabajando de mas, ademas de confundirte (para que generas dos
>llaves en A?). Intenta lo siguiente:
>
>1. Quedate en, por ejemplo, A
>
>2. Genera el par de llaves, que van a quedar en ~/.ssh/id_dsa y
>   ~/.ssh/id_dsa.pub
>
>3. La llave que esta en ~/.ssh/id_dsa.pub termina en algo asi como
>   root en A; copiala dos veces mas en ese archivo (yypp en vi) y a las dos
>   ultimas cambiales el final por root en B y root en C.
>  
>
Creo que no es la idea esa.

La idea es, en cada maquina que sea servidor SSH, es decir que recibirá 
a un usuario, en el home del usuario que se utilizará para entrar, crear 
un archivo llamado

~/.ssh/authorized_keys2

dentro de ese archivo deben aparecer todas las claves PUBLICAS (esto es MUY importante), de los usuarios que van a entrar.

Las claves publicas son las que quedan en el archivo ~/.ssh/id_dsa.pub luego de correr ssh_keygen. Las claves publicas nunca deben salir de la maquina donde fueron creadas. 


>4. Copia ~/.ssh/id_dsa.pub como ~/.ssh/authorized_keys
>   _en_las_tres_maquinas_ (A, B y C).
>
>5. Copia ~/.ssh/id_dsa como ~/.ssh/id_dsa en las dos maquinas restantes
>   (B y C).
>
>  
>
Dado que las claves privadas son únicas por usuario/maquina y nunca 
deben salir (por seguridad) de la maquina donde fueron creadas, creo que 
lo idea sería:

- Para actuar como cliente: crear el par de claves para cada usuario en 
cada maquina (para actuar como cliente)
- Para actuar como servidor: en el home de cada usuario crear el archivo 
~/.ssh/authorized_keys2 con las claves publicas de los usuario que 
pueden entrar.

Además, si no necesitas que sea root el usuario en el servidor, mejor 
aún. Crea un usuario nuevo y lleva a cabo la parte del "authorized_key2" 
solo en el home de este usuario.

Otra cosa, el ingreso sin clave es para llevar a cabo backups u otras 
tareas automáticas o por ser un admin "cómodo" ;-) ? Porque si el caso 
es el segundo, sería mucho mejor usar una passphrase para las claves 
privadas y luego el agente de ssh (si usar putty en WinXX, la opción 
agent forwarding la encontrarás muy útil) para poder entrar en las 
máquinas sin tener que tipear el pass* cada vez.

Saludos y suerte!

-- 
                                        Federico Petronio
                                        petrus en activesec.biz
                                        Linux User #129974

---
There are only 10 types of people in the world:
              Those who understand binary and those who don't.

Más información sobre la lista de distribución Linux