Amministrare GNU/Linux - Cia

8.3. IL SERVIZIO SSH 315Se invocata senza nessuna opzione il comando stampa un messaggio di aiuto, per eseguire lacreazione di una nuova coppia di chiavi occorre infatti specificare almeno il tipo di chiave conl’opzione -t; i possibili tipi di chiavi sono tre: rsa per chiavi RSA, dsa per chiavi DSA e rsa1per il formato di chiavi RSA usato dal vecchio protocollo (la versione 1, adesso in disuso perchéinsicura).Se non si specifica nient’altro il comando chiede il file in cui salvare la chiave, che di defaultè nella directory .ssh nella home directory dell’utente, con un nome che può essere id_dsa oid_rsa a seconda del tipo della chiave (o identity per le chiavi del vecchio protocollo), edinfine una passphrase che serve a proteggere l’accesso alla chiave privata, che non può essereletta senza di essa. Il comando crea anche la rispettiva chiave pubblica, con lo stesso nome usatoper quella privata ma con un .pub terminale. Si può specificare un nome diverso anche a rigadi comando usando l’opzione -f seguita dal nome del file.Se si vuole cambiare la passphrase in un secondo tempo si può usare l’opzione -p, alla chiaveè pure associato un commento, che non ha nessun uso nel protocollo, e serve solo da identificativodella chiave; esso viene di solito inizializzato alla stringa user@host e può essere cambiato conl’opzione -c. Con l’opzione -l invece si può stampare la fingerprint della chiave (a scopo diverifica); infine l’opzione -b permette di specificare la lunghezza della chiave (in bit); il valore didefault, 1024, è più che adeguato. I dettagli sul funzionamento del comando e le restanti opzionisono accessibili nella pagina di manuale con man ssh-keygen.Una volta creata la coppia di chiavi diventa possibile utilizzarla per l’autenticazione. Perfar questo occorre inserire la chiave pubblica della persona a cui si vuole dare l’accesso nel file.ssh/authorized_keys posto nella home dell’utente per conto del quale si accederà. Il file puòcontenere un numero imprecisato di chiavi pubbliche, 4 per cui si deve effettuare l’aggiunta conun comando del tipo:cat id_dsa.pub >> .ssh/authorized_keys(si suppone di essere nella home dell’utente che da l’accesso) dove id_dsa è la chiave dell’utenteche deve poter accedere. Si tenga presente che, come accennato, in questo caso essa vieneeffettuata solo sulla base della corrispondenza fra una chiave pubblica ed una chiave privata,non è necessario che il nome dell’utente sia lo stesso, tutto quello che serve è la presenza dellacoppia di chiavi, la pubblica per l’utente che concede l’accesso, e la privata per quello che deveaccedere. Il procedimento può essere eseguito direttamente con il comando ssh-copy-id, che sicura di aggiungere adeguatamente la chiave nell’authorized_keys di una macchina destinazionecon:ssh-copy-id piccardi@oppish.truelite.itDunque la protezione della chiave privata è essenziale, chiunque ne venga in possesso e possautilizzarla ottiene immediatamente tutti gli accessi a cui essa è abilitata, e questo è il motivoper cui essa viene protetta con una passphrase, che deve essere fornita tutte le volte che lasi deve usare. Essa comunque deve essere protetta sia da lettura che da scrittura da parte diestranei. Questo è imposto dallo stesso comando, che si rifiuta di usare (stampando un clamorosoavvertimento) una chiave privata leggibile da altri rispetto al proprietario.A questo punto però ci si potrebbe chiedere l’utilità di tutto questo armamentario, dato cheinvece di una password per il login bisogna comunque inserire una passphrase per sbloccare lachiave pubblica; l’utilità sta nel fatto che è possibile usare un altro programma, ssh-agent,che permette di sbloccare la chiave una sola volta, all’inizio di una sessione di lavoro, e poimantiene la chiave privata sbloccata in memoria, permettendone il successivo riutilizzo senzache sia necessario fornire di nuovo la passphrase.4 le chiavi sono mantenute una per riga, in formato codificato ASCII, per cui le singole righe sono di normamolto lunghe.