लिनक्स एसएसएच लॉगिन डब्ल्यू / सर्टिफिकेट एक्सपायरी

1

मुझे एक Ubuntu 16.06 रूटसर्वर मिला और मेरे पास कई अन्य लोग हैं जिन्हें एक विशेष उपयोगकर्ता के रूप में इस पर लॉगिन करने की आवश्यकता हो सकती है।

मैं पासवर्ड या निजी कुंजी भी नहीं भेजना चाहता।

क्या सर्वर पर कुछ भी छूने के बिना , पीढ़ी के बाद +3 दिनों में समाप्त होने वाली कुंजी उत्पन्न करना संभव है ?

यानी एक रूट सर्टिफिकेट के साथ जिसे सर्वर जानता है और मुझे एक सुरक्षित स्थान मिला है, जिसका उपयोग मैं उन कीज़ को एक्सपायरी डेट के साथ जेनरेट करने के लिए कर सकता हूँ?

linux  ssh  certificate 
bam
स्रोत

जवाबों:

6

या यहां तक ​​कि निजी कुंजी।

क्यों होता है क्या तुमने कभी निजी कुंजी भेजें? उपयोगकर्ता से स्वयं की कीप जनरेट करने के लिए कहें और उन्हें आपको सार्वजनिक कुंजी भेजें ।

क्या यह कुंजी उत्पन्न करना संभव है जो पीढ़ी के बाद +3 दिनों में समाप्त हो,

सर्वर मानकर OpenSSH का उपयोग करता है, दो तरीके हैं:

  • प्रमाणपत्र : OpenSSH 5.4 या बाद के साथ समर्थित है, लेकिन सभी उपयोगकर्ताओं को OpenSSH का उपयोग करना चाहिए - जेनरेट किए गए प्रमाणपत्र PuTTY या अन्य ग्राहकों के साथ काम नहीं करते हैं।

    पहले ssh-keygenसर्वर के कॉन्फ़िगरेशन में ( TrustedUserCAKeysविकल्प का उपयोग करके ) इसके साथ एक "अथॉरिटी" एसएसएच कुंजी जेनरेट करें और फिर यूजर सर्टिफिकेट जारी करने के लिए इसका इस्तेमाल करें।

    एक प्रमाण पत्र जारी करने के लिए: जब उपयोगकर्ता आपको अपनी id_rsa.pubफ़ाइल भेजता है , तो इसे सीए कुंजी के साथ हस्ताक्षर करें। एक बार हस्ताक्षर id_rsa.pub-certकरने के बाद, उपयोगकर्ता को नई फ़ाइल भेजें ।

    ssh-keygen -s ~/private/user_ca -I user_fred -n fred -V +3d fred_id_rsa.pub

    यहां -nनिर्दिष्ट किया गया है कि कौन प्रमाण पत्र का उपयोग करके लॉग इन कर सकता है, और -Vइसकी समाप्ति समय निर्धारित कर सकता है। ( -Iविकल्प केवल प्रमाणपत्र के लिए एक मनमाना नाम सेट करता है।)

  • authorized_keys : OpenSSH 7.7 या बाद के साथ समर्थित, किसी भी ग्राहक आवश्यकताओं के बिना। समाप्ति की जानकारी कुंजी के भीतर संग्रहीत नहीं है, लेकिन सर्वर के अधिकृत_की फ़ाइल में:

    expiry-time="20180704" ssh-ed25519 AAAAC3NzaC1lZDI1NTE...

    मैनुअल पेज sshd (8) से , अनुमत समय प्रारूप YYYYMMDDऔर YYYYMMDDHHMM[SS]सर्वर के मुख्य टाइमज़ोन में हैं।

    ध्यान दें कि यह विधि केवल तभी सुरक्षित है जब उपयोगकर्ता को उनकी अधिकृत_की फ़ाइल को संपादित करने से रोका जाए, अन्यथा वे केवल समाप्ति समय बढ़ा सकते हैं!

grawity
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.