Forum Linux.général connexion ssh sans rentrer de passphrase

Posté par matthieu bollot (site web personnel, Mastodon) le 03 mars 2010 à 17:43.

Étiquettes : aucune

mar.

2010

Bonjour,

préface :
j'ai accès à une forge sur lequel on se connecte au svn par des clés ssh. Il y a certaines modifications qui peuvent être faîtes en automatique et pour cela j'aurais un script qui sur un serveur qui commit automatiquement certaines choses.

question :
quelle est la meilleur façon pour utiliser ssh et ses clés sans mot de passe ?
A priori, il suffit de ne pas utiliser de passphrase lors de la génération des clés, mais il parait que ce n'est pas sécurisé même si c'est sans doute la solution que je vais utiliser.
En local j'utilise ssh-add mais dans un cron c'est moyen.

Si vous avez des idées, n'hésitez pas :)

# man authorized_keys

Posté par __o le 03 mars 2010 à 18:20. Évalué à 5.

À défaut d'autre solution, tu peux créer une clé spécialement pour ce besoin et restreindre ses droits dans le authorized_keys:

command="/usr/bin/svnserve --tunnel --tunnel-user=xxx --root=/var/xxx",no-port-forwarding,no-X11-forwarding,no-user-rc,no-pty,no-agent-forwarding ssh-rsa xxxkeyxxx

Là ça autorise un utilisateur à se logger avec cette clé, mais il ne pourra parler qu'à l'entrée standard de svnserv (c'est ce que fait svn+ssh://) en tant que l'utilisateur spécifié par --tunnel-user et dans le repos spécifié par --root .

man authorized_keys et man svnserv :)
- [^] # Re: man authorized_keys
  
  Posté par matthieu bollot (site web personnel, Mastodon) le 03 mars 2010 à 18:33. Évalué à 0.
  
  L'utilisateur sur le serveur n'a droit à rien ou presque à part l'accès au svn, et c'était prévu d'y mettre une clé spécifique. (voire l'utilisateur ne servirait qu'à ça) donc la seule chose qui m'importe c'est l'accès au code… en plus je suis pas admin sur le serveur, j'ai juste des accès svn donc limite je m'en fiche :p
# keychain

Posté par Frédéric Perrin (site web personnel) le 03 mars 2010 à 18:39. Évalué à 6.

keychain permet de récupérer un dæmon ssh-agent en arrière-plan. Dans ton cas, l'idée serait de déverrouiller les clefs SSH quand tu allumes ta machine, puis le script utilise keychain pour retrouver le ssh-agent (et donc pour se connecter sans mot de passe).

Ça permet de répondre à certaines menaces (p.e. le script tourne sur ta station de travail perso ; le matin tu allumes ta machine et ajoutes les clefs à ssh-agent, et le soir tu éteins ta machines, et si elle se fait voler dans la nuit, elles ne sont pas accessibles car toujours protégées par une phrase de passe). Même si c'est un serveur allumé en permanence, il y a une différence avec laisser les clefs SSH sans protection : quelqu'un ayant accès au serveur ne pourra pas copier les clefs SSH pour les mettre sur sa machine, par contre il pourra les utiliser depuis le serveur.

http://www.gentoo.org/proj/en/keychain/