From c1b973a39a5be58eb4465603b971235ed7fedd4d Mon Sep 17 00:00:00 2001 From: Silvio Rhatto Date: Sat, 24 Feb 2024 15:03:05 -0300 Subject: Feat: migrate docs from Ikiwiki to MkDocs --- keys.md | 158 ---------------------------------------------------------------- 1 file changed, 158 deletions(-) delete mode 100644 keys.md (limited to 'keys.md') diff --git a/keys.md b/keys.md deleted file mode 100644 index 7f0bdc8..0000000 --- a/keys.md +++ /dev/null @@ -1,158 +0,0 @@ -[[!toc levels=4]] - -Repositório de chaves -===================== - -Configuração ------------- - -A maior parte dos procedimentos a seguir depende do aplicativo -[keyringer](http://git.fluxo.info/?p=keyringer.git;a=summary), da [Hydra -Suite](http://git.fluxo.info/?p=hydra.git;a=summary) e de uma configuração do -tipo - -Proceda então com a [configuração do ambiente de trabalho administrativo](/install). - -Inicializando um repositório ----------------------------- - - # Inicializando - keyringer $HYDRA init $FOLDER/conf/keyring - -Gerando chaves https --------------------- - -Gerar chaves e certificados SSL auto-assinados é simples: - - # Gerando chaves para https - keyringer $HYDRA genpair ssl-self ssl/$DOMAIN $DOMAIN - -Caso você queira gerar apenas a chave e a requisição de certificação (CSR), use - - keyringer $HYDRA genpair ssl ssl/$DOMAIN $DOMAIN - -Para a chaves e requisições CaCert, use - - keyringer $HYDRA genpair ssl-cacert ssl/$DOMAIN $DOMAIN - -Gerando chaves para novos nodos -------------------------------- - - # Gerando chaves ssh e gpg para novos nodos - # A importacao das chaves gpg nos nodos deve ser feita manualmente - hydra $HYDRA newkeys - -Submetendo mudanças -------------------- - - # Submetendo - keyringer $HYDRA git remote add origin giolite@admin.$DOMAIN:keyring.git - keyringer $HYDRA git push origin master - -Importação de chaves GPG ------------------------- - -Importando chaves nos seus respectivos nodos: - - hydra $HYDRA import-key - -Chaves pessoais -=============== - -Para gerar uma chave SSH pessoal, use um comando do tipo - - ssh-keygen -t rsa -b 4096 -f ~/.ssh/id_rsa -C "seu@email" - ssh-keygen -t ed25519 -f ~/.ssh/id_ed25519 -C "seu@email" - -Esse tipo de comando irá gerar uma **chave privada** em `~/.ssh/id_rsa` e uma -respectiva **chave pública** em `~/.ssh/id_rsa.pub`. Se você já possui uma -chave em `~/.ssh/id_rsa` e quiser mantê-la, escolha outro nome para a nova -chave, como por exemplo `~/.ssh/id_rsa_aplicacao`. - -Senhas ------- - -Exemplo de geração de senhas usando o [pwgen](http://packages.debian.org/lenny/pwgen): - - pwgen -s -y 25 - -Atenção: muitos programas e configurações podem não funcionar por conta do uso -de caracteres especiais nas senhas. Assim, recomenda-se evitar alguns -caracteres especiais -- por exemplo delimitadores de campo -- quando for o caso -e/ou testar a senha após a sua escolha. - -Impressões digitais -=================== - -Chaves SSL ----------- - -Chaves SSL podem ter seu fingerprint determinado através usando o [OpenSSL em linha de comando](http://www.madboa.com/geek/openssl), com linhas do tipo - - openssl x509 -noout -in /etc/ssl/certs/cert.crt -fingerprint - openssl x509 -noout -in /etc/ssl/certs/cert.crt -fingerprint -md5 - -Chaves públicas SSH -------------------- - -O seguinte comando retorna todas as fingerprints dos arquivos de chave pública ssh terminados em `.pub` no diretório `/etc/ssh/`: - - hydractl ssh-finger - -Para obter um fingerprint salvo no seu `~/.ssh/known_hosts` pessoal, use - - ssh-keygen -l -F servidor.exemplo.org -f ~/.ssh/known_hosts - ssh-keygen -l -F [servidor.exemplo.org]:porta -f ~/.ssh/known_hosts - -Monkeysphere -============ - -O [monkeysphere](http://web.monkeysphere.info) é um programa que permite a verificação de hosts SSH e usuários/as através da Teia de Confiabilidade do OpenPGP. Com ele, o gerenciamento de fingerprints fica mais fácil e evita que páginas como esta centralizem informações que possam se desatualizar. - -Além dos [usos já documentados](http://web.monkeysphere.info/doc/), o monkeysphere pode ser utilizado também para autenticação em sistemas que não possuem tal suporte: - - monkeysphere gen-subkey -l 4096 # caso voce ainda nao tenha uma chave - mkdir -m 700 ~/.monkeysphere - echo "SEU-ID" >> ~/.monkeysphere/authorized_user_ids # exemplo: "Seu Nome " - touch ~/.ssh/id_rsa_monkeysphere.pub - chmod 600 ~/.ssh/id_rsa_monkeysphere.pub - MONKEYSPHERE_AUTHORIZED_KEYS=$HOME/.ssh/id_rsa_monkeysphere.pub monkeysphere update-authorized_keys - -Agora, basta fornecer a chave localizada em `~/.ssh/id_rsa_monkeysphere.pub` para autenticação :) - -Hashes -====== - -Hashes são úteis para o armazenamento de senhas de usuário. São usados por exemplo no `shadow(5)`. Para gerar um hash compatível com o shadow (por exemplo para gestão via [puppet-user](http://git.fluxo.info/?p=puppet-user.git;a=summary)), utilize o seguinte comando disponível no pacote [whois do Debian](https://packages.debian.org/stable/whois): - - mkpasswd -m sha-256 - -Hashes para `htpasswd` são descritos [aqui](http://sarava.fluxo.info/Ajuda/ProtegendoConteudo). - -Exportação de assinaturas locais -================================ - - gpg --armor --export-options export-local-sigs --export KEYID - -Forçando entrada de senhas via console no GnuPG -=============================================== - - DISPLAY="" gpg - -Mudando senhas de chaves -======================== - - ssh-keygen -p -f ~/.ssh/id_rsa - gpg --edit-key edit-key passwd - -Chave OpenPGP de Coletivo -========================= - -Vide [Chave OpenPGP de Coletivo](role). - -Referências -=========== - -* [Using ssh-agent with ssh](http://mah.everybody.org/docs/ssh). -* [Using Rsync and SSH ](http://troy.jdmz.net/rsync/index.html). -* [SSH and ssh-agent](http://www.securityfocus.com/infocus/1812). -- cgit v1.2.3