2011/3/17 Munteanu Alexandru <munteanu.alexan...@yahoo.com>:
>
Pre-scriptum: please incearca sa faci quoting-ul mai explicit, e
destul de greu de navigat prin mailurile tale. Multumesc.
>
>
> 1. Daca as vrea sa ma conectez manual care ar fi parametrul comenzii sftp
> pentru specificare passphrase ? (ceilalti parametri pentru user,key,pass sunt
> usor de identificat).
>
> Banuiesc ca in optiuni sftp -o ar trebui sa fie acolo dar nu gasesc care
> ar putea fi.
>
Din sftp(1):
-i identity_file
Selects the file from which the identity (private key)
for public key authentication is read. This option is directly passed
to ssh(1).
si NU, NU exista parametru pe lumea asta sa specifici passphrase
pentru cheie, that's the whole point, asta zice si Flo mai jos:
>
> Cred ca abordezi gresit problema.
>
> Daca o sa pui passphrase-ul intr-un script, ii anulezi scopul (acela de a
> face cheia ne-utilizabila in cazul in care un atacator sparge serverul si o
> fura). Daca cineva obtine "root" pe serverul respectiv, va avea acces si la
> cheie si la script, deci nu te ajuta cu nimic passphrase-ul.
>
>
> Probabil din acest motiv nici nu exista parametru prin care sa specifici
> passphrase-ul in linia de comanda.
>
> Daca vrei sa automatizezi conectari cu cheie, iti recomand sa folosesti cheie
> fara passphrase. Poti sa "scoti" passphrase-ul din cheie cu "openssl rsa -in
> old.key -out new.key"; fisierul new.key va contine aceeasi cheie, dar
> necriptata.
>
>
> Aici e problema ca indiferent cum abordez eu problema nu tine de mine, ci
> de o entitate terta care impune regulile pe serverul lor. Si eu vrand nevrand
> trebuie sa ma conectez cu passphrase .
>
Passphrase-ul e o problema a ta locala, cum decizi sa tii cheia
privata. Schimband passphrase-ul pe cheia privata, nu se schimba cheia
publica (pe care o are entitatea remote). Sugeram insa cu totii ca
daca folosesti o cheie privata fara passphrase (pt. scripturi automate
samd), asigura-te ca are acces doar la resursele la care are nevoie si
nu folosi cheia ta normala (hint: pe server poti pune mai multe chei
publice pt. un singur cont, o poti pune pe a ta , la care ai
passphrase, pentru conectare interactiva, si pe cea a scriptului la
care stii ca n-ai passphrase, pentru conectare automata).
Si inca o data, cu mai putine vorbe: cel care tine cheia publica
(adminul serverului) nu are nevoie sa stie ce passphrase ai, daca ai,
de cate ori o schimbi si cate copii ai la cheia privata.
Daca tot nu e clar, poate gaseste cineva un howto mai explicit privind
generarea si utilizarea de chei asimetrice.
--
Petre.
_______________________________________________
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug
