On Tue, 2003-01-14 at 17:56, Antonio Guti�rrez Mayoral wrote:
> Quer�a saber si hay alguna forma posible de hacer que cada vez que se
> hace ssh o scp sobre una determinada m�quina o rangos de IP's no se
> solicite la contrase�a, porque ya est� almacenada por una primera vez o
> en un fichero.
S�, la hay.
1. Verifica, en la configuraci�n de sshd, que tengas las l�neas
RSAAuthentication yes
PubkeyAuthentication yes
Estos son los valores por omisi�n para Debian, de forma que no
deber�as tener que editar nada (en Debian, la configuraci�n de
sshd est� en /etc/ssh/sshd_config).
2. En tu cliente, tienes que generar pares de llaves para tu usuario:
ssh-keygen -t rsa
ssh-keygen -t dsa
Consulta ssh-keygen(1) para m�s detalles. Te recomiendo que protejas
las llaves privadas con un password (ssh-keygen deber�a preguntarte
por un password).
3. Instala las llaves p�blicas de tu usuario en tu home en el host al
que te quieres conectar. La manera m�s sencilla de hacer �sto es:
ssh-copy-id <user>@<host>
Donde <user> es tu nombre de usuario en el host remoto, y <host> es
el nombre o la direcci�n del host remoto. Consulta ssh-copy-id(1).
4. Si protegiste tus llaves con un password, probablemente querr�s usar
el "agente ssh" para que no se te est� preguntando el password cada
vez que uses las llaves:
ssh-add
Este comando lo tienes que ejecutar una sola vez, cuando inicias tu
sesi�n en la m�quina cliente (tu laptop, tu estaci�n de trabajo,
etc). Te pedir� el password de las llaves privadas.
Y ya, eso es todo. Ya deber�as poder hacer ssh, � scp, sin que se te
est� preguntando el password. Si olvidas hacer ssh-add, se te
preguntar� por un password, por supuesto --pero el password de tus
llaves privadas, no el password del host remoto. El password del host
remoto ya no se usa, a menos que te conectes con telnet o algo as�.
> S� que es una opci�n peligrosa, pero trabajo siempre con sesiones sobre
> las mismas m�quinas y es muy molesto tener que estar escribiendo
> constantemente las contrase�as, sobre todo si son largas. El shell que
> utilizo es bash.
No es una opci�n peligrosa, a menos que decidas dejar tus llaves en
claro (e.g., no usar un password para protegerlas). De hecho, si
proteges tus llaves con un password, yo creo que es incluso m�s seguro
que la operaci�n tradicional, porque para comprometer tu cuenta no s�lo
tienen que robarte el password, sino las llaves almacenadas en tu
m�quina cliente. E incluso si no las proteges con password, el riesgo
es que la m�quina cliente se comprometa. El servidor est� igual de
seguro que siempre.
-CR
