Re: sdílený privátní klíč v ssh

[Jan Houstek]

Po meditaci nad tou zadrátovanou podmínkou se nabízí ještě jedno řešení, 
aby ten klíč nevlastnil uživatel, který spouští klienta, ale někdo jiný, 
např. root, tj. když bude vlastníkem klíče root:shared_ssh_group a práva 
např. 0640, bude klíč členům shared_ssh_group fungovat. Nebude fungovat 
rootovi ...

-- HH


On Fri, 16 Nov 2012, Jan Houstek wrote:
> Je to zadrátované v kódu, "konfiguruje" se v souboru authfile.c:
>
>  if ((st.st_uid == getuid()) && (st.st_mode & 077) != 0) {
>  ...
>
> Já to vždy řešil tak, že pokud byl dobrý důvod pro nepoužití různých klíčů, 
> tak jsem ten soubor prostě rozkopíroval jednotlivým uživatelům.
>
> -- HH
>
>
> On Thu, 15 Nov 2012, David Rohleder wrote:
>> Ahoj,
>> 
>> potřeboval bych takovou záludnost. Chci, aby uživatelé jedné skupiny
>> byli schopni sdílet jeden privátní klíč k ssh. Je to automatizovaný
>> skript, takže se nechci ptát na heslo a zároveň nechci těm uživatelům
>> generovat vlastní klíče a přidávat je na serveru. Zabezpečení privátního
>> klíče přes práva pro skupinu mi bohatě stačí, akorát mám problém, že se
>> to nelíbí ssh:
>> 
>> @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
>> @         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
>> @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
>> Permissions 0640 for 'dhcp-key' are too open.
>> It is recommended that your private key files are NOT accessible by others.
>> This private key will be ignored.
>> bad permissions: ignore key: dhcp-key
>> 
>> 
>> Nevíte někdo jak vnutit ssh tento klíč? Žádný parametr, který by toto
>> chování vypnul jsem zatím nenašel.
>> 
>> Dík
>> 
>> David
>> 
>> 
>