[gull] openssh key
Félix Hauri
felix at f-hauri.ch
Fri Dec 17 10:58:03 CET 2004
On Thu, Dec 16, 2004 at 09:15:31AM +0100, BRINER Cedric wrote:
> Debian,sarge
>
> bonjour,
>
> je suis rentre en contact avec qqun me demandant d'echanger nos clefs
> openssh publiques ?
>
> Quelle est la procedure a suivre ?
Attention!!!
Je ne comprend pas: ``Echanger'' et ``clefs ssh''.
C'est quoi le but!?
On ``échange'' des clefs PGP pour des raisons de communications (mail
et signatures d'ouvrages) telles que décrites dans les précédent mails.
Par contre, un ``administrateur'' doit envoyer SA* clef PUBLIQUE SSH
(p.ex: .ssh/id_dsa.pub) pour que celle-ci soit installées dans le fichier
``.ssh/authorized_keys...'' du compte administrateur d'une machine à
laquelle l'administrateur doit accéder à distance...
Il y a des sociétés qui demande aux postulants d'effectuer quelque commandes
via ssh, afin d'évaluation. Pour cela ils demandents avec le traditionnel CV
d'envoyer une clef afin de faire de l'administration distante...
Ceux qui envoyent une clef GPG sont déjà mal noté d'entrée, mais ceux qui
envoyent une clef privée à la place d'une clef publique, alors là...
* Note: ``Sa'' clef publique peut être une autre clef que la clef perso par
defaut: voir option ``-i'' de la commande ssh.
Pour bien faire, il vaut mieux créer une clef openssh pour l'occase:
$ ssh-keygen -d -f ~/.ssh/admin_test_id_dsa -N "Une phrase à connaitre"
puis l'envoyer par mail signé avec GnuPG (PGP), le contenu du ficher
~/.ssh/admin_test_id_dsa.pub:
$ cat ~/.ssh/admin_test_id_dsa.pub | \
gpg -a -s | mail -s "Ma clef ssh" destinataire at foobar.baz
... ou en utilisant un mailer confiné, mais si on met la clef en ``pièce
jointe'', attention à signer la ``pièce jointe'' et non seulement le mail;-)
Voire signer la clef dans un fichier signature séparé:
$ gpg -abs ~/.ssh/admin_test_id_dsa.pub
puis envoyer ~/.ssh/admin_test_id_dsa.pub et ~/.ssh/admin_test_id_dsa.pub.asc
en pièces jointes...
Perso, je préfère la méthode ``cat | gpg -as | mail'' car elle est nettement
plus rationnelle, le nom du fichier disparait, seul le contenu transite
et pas besoin de lancer le programme de mail pour ça...
--
Félix Hauri - <felix at f-hauri.ch> - http://www.f-hauri.ch
More information about the gull
mailing list