Utilisation de ssh sans assistance humaine

Posté par scylla le 21 décembre 2003.

Une clef avec passphrase vide offre peu de sécurité ? ssh-agent complique les choses inutilement ?

Vous pouvez restreindre l'utilisation d'une clef.

Par exemple pour un archivage avec tar sur un site distant :

  • Génération de la clef avec une passphrase vide :

    geek@local:~% ssh-keygen -t dsa -f .ssh/backup -N ""
  • Écriture d'un fichier de clef avec restrictions : Quand on utilise cette clef, le poste distant exécute l'écriture dans ~/backup.tar. On restreint de plus le poste client à local et on empêche l'utilisation de diverses options.

    geek@local:~% printf "command=\"cat > ~/backup.tar\",from=\"local\",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty " > backup.authorized
    geek@local:~% cat .ssh/backup.pub >> backup.authorized
  • Ajout de la clef sur distant :

    geek@local:~% cat backup.authorized | ssh distant cat \>\> .ssh/authorized_keys
    geek@local:~% rm -f backup.authorized
  • Envoi d'un tar du répertoire ~/dump vers distant (à mettre par exemple dans un cron) :

    geek@local:~% tar cvf - ~/dump | ssh -i .ssh/backup distant

  • billets/utilisation_de_ssh_sans_assistance_humaine.txt
  • Dernière modification: 2006/09/01 12:00
  • (modification externe)