Une clef avec passphrase vide offre peu de sécurité ? ssh-agent complique les choses inutilement ?

Vous pouvez restreindre l'utilisation d'une clef.

Par exemple pour un archivage avec tar sur un site distant :

• Génération de la clef avec une passphrase vide :
  
  geek@local:~% ssh-keygen -t dsa -f .ssh/backup -N ""
  
  
• Écriture d'un fichier de clef avec restrictions : Quand on utilise cette clef, le poste distant exécute l'écriture dans ~/backup.tar. On restreint de plus le poste client à local et on empêche l'utilisation de diverses options.
  
  geek@local:~% printf "command=\"cat > ~/backup.tar\",from=\"local\",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty " > backup.authorized
  geek@local:~% cat .ssh/backup.pub >> backup.authorized
  
  
• Ajout de la clef sur distant :
  
  geek@local:~% cat backup.authorized | ssh distant cat \>\> .ssh/authorized_keys
  geek@local:~% rm -f backup.authorized
  
  
• Envoi d'un tar du répertoire ~/dump vers distant (à mettre par exemple dans un cron) :
  
  geek@local:~% tar cvf - ~/dump | ssh -i .ssh/backup distant
  
  

> Lire le message (3 commentaires, moyenne: 1).