Invalidation des keys ssh inutilisées

J'utilise un count ssh pour tous mes users de Subversion. Ils m'envoyent leurs keys publiques et je les ai mis en .ssh / authorized_key du count svn, puis ils peuvent vérifier le code de Subversion à l'aide du tunnel ssh.

Jusqu'à présent, tout fonctionne bien. Le problème, cependant, est que je souhaite invalider les keys qui n'ont pas été utilisées pendant un certain time (dis un mois). Est-ce que quelqu'un connait un moyen de faire en sorte que sshd enregistre la key publique lorsqu'un user signe?

Merci.

3 Solutions collect form web for “Invalidation des keys ssh inutilisées”

Tout est documenté dans sshd (8), sous la section "AUTHORIZED_KEYS FILE FORMAT".

Dans .ssh / authorized_keys2, ajoutez quelque chose comme environment="SSHKEY=1" au début de chaque ligne, il devrait donc ressembler à:

 environment="SSHKEY=1" ssh-dss AAAAB3N ... environment="SSHKEY=2" ssh-rsa AAAAB3N ... 

Activez PermitUserEnvironment option dans / etc / ssh / sshd_config et redémarrez sshd. Maintenant, vous pouvez append quelque chose comme echo $SSHKEY >>.sshlog à ~ / .bashrc pour l'logging des keys ssh utilisées.

Mais je pense que beaucoup de facilité est le file backup authorized_keys2, supprimez toutes les keys et attendez simplement que les gens appellent / email / je vous request pourquoi svn ne fonctionne pas. Ensuite, vous pouvez restaurer leur key ou leur requestr de renvoyer leurs keys si vous ne savez pas quelle touche appartient à qui. Comme effet secondaire, vous saurez qui travaille réellement. 🙂

Je pense que lastlog ne sera pas très utile, car JH dit qu'il n'a qu'un seul count, avec de multiples users réels qui se connectent avec des keys différentes (je me request pourquoi, vous allez perdre des informations précieuses sur l'auteur dans SVN de cette façon).

Quoi qu'il en soit, au less dans mes systèmes (Debian / Ubuntu), sshd ne connecte pas la key utilisée pour la connection par défaut, mais il semble qu'il soit possible de la forcer à l'utiliser en utilisant "LogLevel Verbose" ou quelque chose à cet effet dans sshd_config. Vous pouvez ensuite écrire / utiliser un parsingur simple pour les journaux et les keys de stockage utilisés, et déterminer en fonction de l'information dont vous avez besoin.

Ajoutez LogLevel VERBOSE à votre sshd_config
Vous pouvez également modifier votre chiffre d'affaires, de sorte que vous avez des journaux pour le dernier mois.

Notez qu'il apparaîtra l'empreinte digitale de la key dans le file journal. Vous pouvez utiliser ssh-keygen -l pour afficher l'empreinte digitale d'un file-key.

  • SSH ne démarre pas
  • Démarrage du service jetée de SSH
  • Autossh en arrière-plan ne fonctionne pas
  • Comment déboguer SSH "timeout de connection"
  • Impossible de se connecter à l'hôte distant via le tunnel ssh sur le port 5432
  • Fin de la première connection à une boîte Samba AD-jointe
  • Linux à Windows SSH authorized_keys
  • Les servers Web de production devraient-ils utiliser un hôte de passerelle pour SSH dans les applications Django même si Fabric ne l'prend pas?
  • SSH de PuTTy à Debian "authorized_keys n'est pas un file régulier" Erreur
  • Processus SSH suspect
  • erreur rsync: command à distance introuvable (code 127) à io.c (605):
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de réseau.