Ssh Keys

Istruzioni per l'uso delle chiavi

Chiavi dei server al 21/09/2011. Da allora dip190 è stato spento.
Server DSA hash DSA RSA hash RSA Istruzioni per il Tunnel Link come da istruzioni
paolotti.studenti.math.unipd.it (dip191.studenti.math.unipd.it) .pub
6a:d0:de:bf:e9:ef:4a:8d:f5:df:c8:61:51:7e:1f:cc
.pub
03:a2:ad:e0:17:1d:44:56:08:ea:4f:18:85:04:88:74
Cambio password da casa https://localhost:14443
torre.studenti.math.unipd.it (t68.math.unipd.it) chiavi scadute .pub
68:56:3f:70:93:5e:fc:db:f3:fa:1b:86:bc:bb:c1:ea
.pub
80:f3:4c:cb:7b:3d:26:75:d5:a6:60:f0:fa:39:8c:bc
   
torre.studenti.math.unipd.it (t68.math.unipd.it)
1024 MD5:70:8f:a4:4a:ca:6e:e3:0b:04:4d:f3:95:95:67:e4:f0 root@t48 (DSA)
1024 SHA256:u1eHLuIZkX4/QJ6zFcgaEqlEMzccioY36EnUbUzgFn8 root@t48 (DSA)
2048 MD5:75:eb:11:62:98:6b:34:48:99:c8:8f:e5:dd:b2:35:9e root@t48 (RSA)
2048 SHA256:anv0nA2HmUQCz184/tEnXjekFqyxe7Gg4y+M+gWM5Vg root@t48 (RSA)
   
tecnologie-web.studenti.math.unipd.it .pub
8b:2c:0a:46:f6:2c:5d:e0:71:e2:dc:91:ae:0e:13:8f
.pub
d0:0d:33:f2:14:7a:1a:40:ed:47:44:7e:bb:d0:c5:e1
Tecnologie Web - A.A. 2010-2011 localhost:30080
basidati.studenti.math.unipd.it .pub
8b:2c:0a:46:f6:2c:5d:e0:71:e2:dc:91:ae:0e:13:8f
.pub
d0:0d:33:f2:14:7a:1a:40:ed:47:44:7e:bb:d0:c5:e1
Basi Dati - A.A. 2010-2011 localhost:20080
dip190.studenti.math.unipd.it .pub
.pub
   

Nota bene:

  1. Per quanto il sistema delle autorità di certificazione radice (che rendono possibili i collegamenti https senza ulteriori installazioni) abbia recentemente mostrato i propri limiti fidarsi del certificato del Dipartimento per accedere in https ad un suo sito non presenta rischi ulteriori al collegamento via ssh stesso (vi state fidando degli stessi tecnici e della stessa infrastruttura) e comunque riduce di molto il pericolo di attacchi an in the middle (che è il motivo per cui diciamo di non fidarsi a priori di una macchina che dica di essere un server del Dipartimento).
  2. Insomma perchè la conessione in https sia davvero sicura, prima va installato il certificato SSL del Dipartimento che può essere scaricato ed installato seguendo le relative istruzioni (si ha altrimenti lo stesso problema: fidarsi o meno di un sito web di cui non si riconosce il certificato non è dissimile dal fidarsi o meno di un server cui collegarsi in ssh di cui non si abbia ottenuto la chiave).
  3. Le chiavi e gli hash riportati in questa pagina sono quindi da ritenersi affidabili solo se si la sta vedendo in https e se il browser conferma l'autenticità del sito.
  4. Ad ogni modo, rispetto all'installazione delle chiavi, la verifica degli hash, specialmente se fatta a posteriori, è meno sicura.

Uso delle chiavi con OpenSSH

Il client ssh del progetto OpenSSH è normalmente installato dalle principali distribuzioni Linux e in Mac OS X (si usa da Terminal.app).

Installazione di una chiave ssh nel keyring di openssh (esempio con paolotti.studenti.math.unipd.it)

Attenzione: il vecchio certificato math.cacert.pem è scaduto il 15 aprile 2014 e va quindi sostituito con quello nuovo.

wget                                  'https://support.math.unipd.it/sites/default/files/math.cacert.pem';
wget --ca-certificate math.cacert.pem 'https://www.studenti.math.unipd.it/uploads/media/ssh.studenti_ssh_host_rsa_key.pub' ;  
 (
  echo -n 'paolotti.studenti.math.unipd.it'  ;  
  echo -n ' '                                ;
  cat      ssh.studenti_ssh_host_rsa_key.pub ;
 ) >>  ~/.ssh/known_hosts


Cancellazione di una chiave ssh nel keyring di openssh (esempio con basidati.studenti.math.unipd.it)


I comandi sotto possono essere necessari dopo la reinstallazione della macchina:

ssh-keygen -R 147.162.84.226
ssh-keygen -R basidati.studenti.math.unipd.it
ssh-keygen -R basidati

Altri modi per arrivare allo stesso risultato stanno nella FAQ relativa.

Verifica a posteriori dell'hash di un server ssh (subito prima di collegarsi)

 

 root@t68:~# ssh torre.studenti.math.unipd.it -o HostKeyAlgorithms=ssh-rsa -o FingerprintHash=md5 The authenticity of host 'torre.studenti.math.unipd.it (192.168.84.68)' can't be established. RSA key fingerprint is MD5:75:eb:11:62:98:6b:34:48:99:c8:8f:e5:dd:b2:35:9e. Are you sure you want to continue connecting (yes/no)?  

Verifica a posteriori dell'hash di un server ssh (esempio con ssh.studenti.math.unipd.it)


In Linux il comando per stampare la fingerprint (una volta forzato il collegamento) è: ssh-keygen -l -f <file-della-chiave>.pub e il risultato deve concordare con quello dato nel messaggio di errore. Altrimenti si deve ritenere l'account compromesso e bisogna come minimo cambiare le password (avvertire subito dopo i tecnici). Nel caso specifico di ssh.studenti.math.unipd.it si dovrebbe ottenere:

dip191:~$                           ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key.pub
2048 03:a2:ad:e0:17:1d:44:56:08:ea:4f:18:85:04:88:74 /etc/ssh/ssh_host_rsa_key.pub
dip191:~$                           ssh-keygen -l -f /etc/ssh/ssh_host_dsa_key.pub
1024 6a:d0:de:bf:e9:ef:4a:8d:f5:df:c8:61:51:7e:1f:cc /etc/ssh/ssh_host_dsa_key.pub


Notare che il controllo è proprio a posteriori (potreste aver già consegnato le vostre credenziali ad un malintenzionato e può dare falsi negativi in base al controllo che il malintenzionato avrà del vostro account) e va dato dal prompt dei comandi della shell remota aperta dentro ssh.studenti.math.unipd.it. Lo stesso comando dato in una shell locale, restituirà semmai l'hash del demone ssh del proprio computer.

 root@t68:~# for file in /etc/ssh/ssh*.pub ; do echo "==> $file" ; ssh-keygen -E md5 -lf $file ; done  ==> /etc/ssh/ssh_host_dsa_key.pub 1024 MD5:70:8f:a4:4a:ca:6e:e3:0b:04:4d:f3:95:95:67:e4:f0 root@t48 (DSA)  ==> /etc/ssh/ssh_host_ecdsa_key.pub 256 MD5:95:69:d2:50:ee:4a:9b:12:c6:36:32:ed:af:b0:92:df root@t48 (ECDSA)  ==> /etc/ssh/ssh_host_ed25519_key.pub 256 MD5:c9:db:1e:29:c9:35:63:92:79:3c:ed:73:a2:45:bd:82 root@t48 (ED25519)  ==> /etc/ssh/ssh_host_rsa_key.pub 2048 MD5:75:eb:11:62:98:6b:34:48:99:c8:8f:e5:dd:b2:35:9e  root@t48 (RSA) root@t68:~# for file in /etc/ssh/ssh*.pub ; do echo "==> $file" ; ssh-keygen -E sha256 -lf $file ; done  ==> /etc/ssh/ssh_host_dsa_key.pub 1024 SHA256:u1eHLuIZkX4/QJ6zFcgaEqlEMzccioY36EnUbUzgFn8 root@t48 (DSA)  ==> /etc/ssh/ssh_host_ecdsa_key.pub 256 SHA256:xMrtUwVc9Yw0gxmwGo8nqjRBrxmn+XghlgikKYuk0kA root@t48 (ECDSA)  ==> /etc/ssh/ssh_host_ed25519_key.pub 256 SHA256:XryaqCiSdx/CqwA4GCvgaaHxoaDcEIDKmS2IfqziiGc root@t48 (ED25519)  ==> /etc/ssh/ssh_host_rsa_key.pub 2048 SHA256:anv0nA2HmUQCz184/tEnXjekFqyxe7Gg4y+M+gWM5Vg root@t48 (RSA)   root@t68:~# tail -n 100 /etc/ssh/ssh_host_*pub ==> /etc/ssh/ssh_host_dsa_key.pub <== ssh-dss AAAAB3NzaC1kc3MAAACBAM7weWBIBUuXJpNS0NlbCmbmvDx4RYE56o25hVOEaOxHLfnimlx5b4o3QVbVCLa1bsgtQFnVXzzf6wt57GcLTscnADdftA1k3p80VH3lZmkwZ7rQfI6aVF7aEDMZlM1sYuz7Vh5prdwbMYMKJG6pe6ECXEA+aIX1zTQ3+XcIS2nFAAAAFQDCu83NgFozXxhCv2lg7b9WZCzbVQAAAIB/CBD2PoHe+E0nyntBZlEL6vzv5/6mX1DQeKHiv2DxC01U+bix8qy7KKuZZA544UHhudkkiC9LAl9Ru3jl6BcbcByOjfDxrL8430SP1MLXkjASAcc6ETGLIX9rP4wwJjV+gMSHJwBN2HhzPz/J/sTYMz4cAu8/c2iKjUtf2w4TugAAAIEAi4p1RTeV9db6GNYCB/hLzqEIRSolGnUnwnbGKUezTMTJE60btaUEBBKXYxShzEatcPrpJ8r+qPRTivU0fp6C9p/EAEHIFZRQrlsPdr8En+lsX8rJ1TJpnNFyreONvC5xm0dZAQp1cEeVNFJzLKXsfvNz1VQkdbn1mTbOq+tUgXI= root@t48 ==> /etc/ssh/ssh_host_ecdsa_key.pub <== ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBJP2uIgWXUydibyBJTawYdA11dE4A+wlG94uXvvlkAdo0nrLtIC1XL5A8qy3AnKOq3NkALRNHSEiwOVNlrjnbMQ= root@t48 ==> /etc/ssh/ssh_host_ed25519_key.pub <== ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIGsG772OWPBGz0HrdANMCacGr2QpGMsZjqFrb96GPrQT root@t48 ==> /etc/ssh/ssh_host_rsa_key.pub <== ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCfML4dbGU8tnvzLDiTX3m2zKbTGKb7u4Lx1Gs1wIwUrPj4mOpBsgV3u5+aYvuxM/TcrSEA4DsU6xdMZTo12hc7ZPhdJPnHu2oR9H0B0axIQ+e98vK7ewPseaxPobJRHULVHxIBVpbhxnG2jBO82f9/3Bc58l5Ho0O2wAokucsNhHH9KTIuV5XQbmawyLnwvYoMvTNaQgV9IdrphqqsFloG1n1IFnp3OGg0YSpx1zi/PKTvOC3mXNQlVOGBzvkVd3oxvZ5MdaC1+LFPJr47Ck0qr+7yIHwBbyStd7mAWQfZXIFmQR1g0oiYNiXEEV83RZJxkXexMGgk/xpXXj7hg2iv root@t48 root@t68:~#  root@t68:~# ls -l /etc/ssh/ssh_host_*pub -rw-r--r-- 1 root root 598 ago  5  2016 /etc/ssh/ssh_host_dsa_key.pub -rw-r--r-- 1 root root 170 ago  5  2016 /etc/ssh/ssh_host_ecdsa_key.pub -rw-r--r-- 1 root root  90 ago  5  2016 /etc/ssh/ssh_host_ed25519_key.pub -rw-r--r-- 1 root root 390 ago  5  2016 /etc/ssh/ssh_host_rsa_key.pub 

Uso solo di alcuni tipi di cifratura

Un esempio:

ssh -o HostKeyAlgorithms=ssh-rsa,ssh-dss nomeutente@ssh.studenti.math.unipd.it