Estamos transferindo arquivos para um servidor remoto em nosso aplicativo e o método necessário de autenticação é usar chaves SSH.
Então, eu criei meu par de chaves usando ssh-keygen e enviei minha chave pública para inserção no arquivo authorized_keys do host remoto. No entanto, isso foi rejeitado pela IT Security, que disse que geraria o par de chaves para mim e me enviaria a chave privada. Motivo: "Precisamos que as chaves SSH sejam assinadas pela equipe de segurança de TI. Isso é para garantir que tenhamos alguma vantagem em rastreamentos e responsabilidade".
Obviamente, tenho problemas com isso. Ter a chave privada gerada por outra pessoa significa que posso fazer com que essa pessoa se disfarce como eu sem que eu saiba. Estou tentando encontrar maneiras de refutar esse argumento.
Tanto quanto eu posso google, não parece haver qualquer maneira conhecida para assinar as chaves de tal forma que ajuda no rastreamento de uma pessoa que se conectou. O fato de eu ter enviado minha chave pública significa que eu possuo a chave e qualquer pessoa que assina o servidor remoto com essa chave é, por padrão, identificada como eu. Como iria assinar ajuda? E como eles assinariam de qualquer maneira?
Alguém por favor me avise se eu estiver errado, obrigado!
Ok, agora que determinamos que não é possível assinar as chaves SSH, preciso mostrar à segurança de TI como elas realmente podem acompanhar quem está fazendo o login (preciso ser construtivo, eu acho, se não o alto a mão-de-obra começa). No meu próprio servidor, eu configurei o LogLevel do sshd para DEBUG. Então, quando eu fizer login, posso ver o seguinte snippet:
Found matching DSA key: xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx
Isso parece ser um valor de hash. Como relaciono isso de volta a qual chave pública no arquivo authorized_keys foi usada? Eu sei que há outra linha que diz:
debug1: matching key found: file /home/bofh/.ssh/authorized_keys2, line 1
mas isso não é tão útil quanto os números de linha podem ser facilmente alterados se eu fosse inserir uma chave na parte superior do arquivo, pressionando as teclas originais para baixo.
Obrigado!