sdílený privátní klíč v ssh
David Rohleder
davro na ics.muni.cz
Pátek Listopad 16 16:49:10 CET 2012
Ty jo, to je zajímavé řešení, zrovna tak by mně to vyhovovalo. Zkusím.
Díky
David
Jan Houstek píše v Pá 16. 11. 2012 v 12:40 +0100:
> Po meditaci nad tou zadrátovanou podmínkou se nabízí ještě jedno řešení,
> aby ten klíč nevlastnil uživatel, který spouští klienta, ale někdo jiný,
> např. root, tj. když bude vlastníkem klíče root:shared_ssh_group a práva
> např. 0640, bude klíč členům shared_ssh_group fungovat. Nebude fungovat
> rootovi ...
>
> -- HH
>
>
> On Fri, 16 Nov 2012, Jan Houstek wrote:
> > Je to zadrátované v kódu, "konfiguruje" se v souboru authfile.c:
> >
> > if ((st.st_uid == getuid()) && (st.st_mode & 077) != 0) {
> > ...
> >
> > Já to vždy řešil tak, že pokud byl dobrý důvod pro nepoužití různých klíčů,
> > tak jsem ten soubor prostě rozkopíroval jednotlivým uživatelům.
> >
> > -- HH
> >
> >
> > On Thu, 15 Nov 2012, David Rohleder wrote:
> >> Ahoj,
> >>
> >> potřeboval bych takovou záludnost. Chci, aby uživatelé jedné skupiny
> >> byli schopni sdílet jeden privátní klíč k ssh. Je to automatizovaný
> >> skript, takže se nechci ptát na heslo a zároveň nechci těm uživatelům
> >> generovat vlastní klíče a přidávat je na serveru. Zabezpečení privátního
> >> klíče přes práva pro skupinu mi bohatě stačí, akorát mám problém, že se
> >> to nelíbí ssh:
> >>
> >> @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
> >> @ WARNING: UNPROTECTED PRIVATE KEY FILE! @
> >> @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
> >> Permissions 0640 for 'dhcp-key' are too open.
> >> It is recommended that your private key files are NOT accessible by others.
> >> This private key will be ignored.
> >> bad permissions: ignore key: dhcp-key
> >>
> >>
> >> Nevíte někdo jak vnutit ssh tento klíč? Žádný parametr, který by toto
> >> chování vypnul jsem zatím nenašel.
> >>
> >> Dík
> >>
> >> David
> >>
> >>
> >
> _______________________________________________
> Linux mailing list
> Linux na linux.cz
> http://www.linux.cz/mailman/listinfo/linux
Další informace o konferenci Linux