AutoSSH na inicialização com frase secreta ou chave protegida?

1

Eu preciso configurar uma máquina para AutoSSH na inicialização, mas eu preferiria que uma senha ou alguma outra forma de proteção fosse colocada na chave sendo usada para o SSHing. Existe alguma maneira de proteger a chave enquanto ainda permite AutoSSH para acessá-lo automaticamente na inicialização do sistema? A proteção não precisa ser especificamente o nível de frase-senha normal, mas pode ser um nível mais alto (digamos, em uma parte do sistema de arquivos). Mas ainda precisa ser capaz de reiniciar automaticamente na reinicialização. Obrigado!

Solução para o meu caso: Esta não é uma solução para o problema descrito, mas resolve a necessidade disso na minha situação (e talvez resolva a de outra pessoa). A chave estava sendo usada para abrir um túnel SSH reverso com um servidor remoto. O dispositivo do cliente estava em uma posição menos segura (física), razão pela qual a proteção extra era desejada. Em vez de proteger a chave, restringi o que essa chave tinha permissão para fazer no servidor remoto (ou seja, o servidor permite que essa chave estabeleça o túnel SSH reverso, mas não faça mais nada).

    
por Jenny Shoars 21.10.2016 / 04:32

1 resposta

1

O que você solicita é impossível de alcançar. A senha / senha deve ser escrita por alguém para ser de alguma forma útil. Se você criptografar a chave e armazenar a senha próxima a ela ( sshpass , expect script), não há sentido em criptografar a chave.

Assim, você pode ter uma segurança (exigir a senha em cada reinicialização) ou alta disponibilidade (armazenar chave não criptografada).

A última possibilidade é usar algum módulo HSM ou cartão inteligente. Isso impedirá que alguém copie a chave em qualquer outro lugar, mas ainda assim você precisaria armazenar o alfinete ao lado para poder fazer operações de chave privada no HSM.

    
por 21.10.2016 / 10:53

Tags