Forum

Bonjour,
Je viens de me créer une clef ssh en passant la commande ssh-keygen -t rsa
Le truc c'est que cela m'a bien créée une clef de type RSA 3072 alors qu'il me semble avoir vu qu'elle devrait sortir en 4096.
Est ce normal ? Comment forcer le système pour générer une clef de type RSA 4096 ? Et du coup je risque d'avoir à révoquer cette première clef.
Merci beaucoup pour vos éclaircissements

bon finalement j'ai passé cette commande :
$ ssh-keygen -b 4096 -t rsa
J'ai écrasé le fichier id_rsa précédent.
Ca devrait le faire. Du coup la précédente clef, je me demande s'il est utile de la révoquer ?
Si non, je passe en résolu !

Édité par TuxMips Le 18/02/2021 à 11h09

As tu partagé ta clef précédente ? Téléversée sur un serveur ?
Si c'est resté locale, sans utilisation, inutile de la révoquer. D'ailleurs, je ne sais pas s'il y a des certificats de révocation pour les clefs SSH, ce ne sont pas des clefs GPG.

Merci Jybz pour ta réponse rapide.
Non la clef n'a pas été partagée ni téléversée sur un serveur. Elle n'est restée qu'en local.
Je vais pouvoir passer en résolu. Enfin presque car j'ai une nouvelle question qui me vient à l'esprit.
En effet cette clef, enfin plutôt cette paire de clefs, me servira pour me connecter à un serveur. Mais comme j'ai plusieurs machines qui seront clientes, est ce que je peux reprendre ces deux fichiers et les copier sur mes autres machines ou bien chaque machine doit elle avoir sa paire de clef "personnelle" ?

Édité par TuxMips Le 18/02/2021 à 11h35

Les deux sont possibles.
Mais regardont comme ça :

Il y a un serveur avec du code source qui est sensible, on ne doit pas y ajouter de cheval de Troie.
Si tu te fais dérober un de tes PC portable.
Que fais tu ?
- Tu supprimes toutes les fichiers clef et en génère une nouvelle que tu duplique sur chaque machine et mets à jour la clef sur le serveur ?
- Tu supprimes uniquement la clef associée au pc sur le serveur ?

Moi, j'ai une clef par PC par serveur. Ainsi, j'ai sur le PC-A une clef pour le serveur GIT-1, une seconde pour GIT-2, …
Sur le PC-B …

En y repensant, je regrètes, j'aurais du n'utiliser qu'une unique clef par PC pour les différents git. Si une telle situation se produit, ça sera plus simple.

Bonjour,
L'algorithme ecdsa doit être privilégié fasse au rsa pour les clefs SSH. Adrien_D a fait de très bonnes vidéos sur sa chaine Youtube linuxtricks au sujet de la connexion par ssh.
Pour moi, chaque PC doit avoir sa paire de clef unique. Particulièrement si tu as créé une clef sans mot de passe. Par contre il n'y a pas de raison particulière d'avoir une clef différente par serveur sur le même PC.

Jybz, ta recommandation est la bonne. Toutefois, elle a un inconvénient.
Si tu travailles avec un dépôt github et que tu as chargé une clé, tu ne peux accéder au dépôt distant avec le même compte et l'accès SSH que si tu as copié la clé privée. Sinon, il te faut passer par l'identification par mot de passe sur les autres postes.

Pour le moment ce sera pour connecter un fixe et un portable (voir un second portable) sur un serveur unique.
L'idée va être d'intégrer cette clef dans keepassXC.
Je profite de ce fil pour me faire également un mémo pour l'avenir et qui pourra peut-être servir à d'autres

Édité par TuxMips Le 18/02/2021 à 19h21

Dans quel but ?

Bonjour,

ssh ne regarde pas les clés stockées dans un répertoire particulier ?

Sinon dans ce cas, je ne vois pas la raison de la stocker dans keepassxc (sauf si plugin qui se charge de charger la clé dynamiquement)

Il s'agit pour moi d'accéder à notre serveur maison. Précision : ce serveur n'est pas administré par moi.
Ma clef publique n'a pas encore été intégrée dessus et avec le décalage horaire dans lequel vit l'administrateur, il me faudra attendre ce soir tard ou demain matin.
L'objectif c'est que je puisse accéder au serveur lorsque je suis à l'extérieur de la maison (donc de notre LAN).
Pour l'instant dans keepassXC, je n'ai réussi à intégrer mes clefs SSH qu'en allant chercher le fichier id_rsa
Mais normalement, si je comprends les explication de l'administrateur du serveur, keepassXC devrait pouvoir s'occuper de tout au point de ne même plus avoir besoin des fichiers id_rsa et id_rsa.pub. Notamment en activant l'agent SSH dans keepassXC
Comme pour le moment je n'ai pas encore vu le bouzin fonctionner et que je ne suis qu'à la moitié de la démarche... stay tuned :-)

Mais... C'est pour une utilisation en ligne de commande ou via un navigateur ? J'ai l'impression que tu ne nous dis pas tout.

J'accède à mes machines sur mon réseau depuis l'extérieur avec mes fichiers id_rsa[.pub] sans utiliser keepassXC. Je ne vois toujours pas le but.

De plus, si keepassXC se connecte, il lui faut des fichiers, s'il ne réutilises pas id_rsa c'est qu'il en génère un autre et l'y installe (solution simple), mais il a de toutes les manières il doit avoir une paire de clef, ou une clef symétrique derrière une protection, mais c'est ajouter du développement, ça me paraitrait étrange de faire comme ça.

Bonjour,
Il y a un mode d'emploi ici : https://keepassxc.org/docs/KeePassXC_UserGuide.html#_openssh_agent_on_linux
Bien qu'il soit détaillé, je n'en comprends pas l'usage. OK, KeypassXC va pouvoir stocker la clé privée. Mais après ?

Pour le moment je n'ai qu'un accès limité au serveur. J'accède à la maison à une partie du répertoire de fichiers en lecture-écriture. Il s'agit notamment du dossier me concernant. Je n'ai pas accès au reste. Je n'y ai pas accès non plus à l’extérieur de la maison.
KeepassXC est géré à partir de mon fixe. Je peux téléverser le fichier sur le serveur et je récupère le fichier kdbx sur mes deux laptops ainsi que sur mon smartphone de manière à rester synchronisé.
Du coup plus besoin de plusieurs clefs, une seule paire suffit. Mais comme je vous l'ai dit, pour le moment le serveur n'est pas encore paramétré. Donc je n'ai pas vu encore keepassXC à l'oeuvre.
Merci papoteur pour le lien. Pour le moment je ne suis arrivé à intégrer la paire de clefs qu'en utilisant la solution alternative, en allant chercher le fichier à la main. Je vais relire le truc, mais je ne suis pas arrivé à "attacher" le fichier, je ne peux que pour le moment le charger.

Et pour répondre à Jybz, ce sera pour une utilisation en ligne de commandes (va falloir que je progresse) et peut-être via aussi le navigateur de fichiers.

Édité par TuxMips Le 19/02/2021 à 12h37

Je suis désolé. Je ne comprends pas les problématiques. Si tu accèdes au fichiers de l'utilisateur, tu peux y mettre ta clef, déjà, sans le sysadmin, et t'y connecter en ligne de commande, DÉJÀ.