1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
|
[[!toc levels=4]]
Reposit�rio de chaves
=====================
Configura��o
------------
A maior parte dos procedimentos a seguir depende do aplicativo [keyringer](http://git.sarava.org/?p=keyringer.git;a=summary), da [Hydra Suite](http://git.sarava.org/?p=hydra.git;a=summary) e de uma configura��o do tipo
# Configuracao
project="exemplo"
domain="exemplo.org"
admin="nodo_admin"
admin_port="porta_ssh"
base="$HOME/grupos/$project/conf"
Inicializando um reposit�rio
----------------------------
# Inicializando
keyringer $project init $base/keyring
Gerando chaves https
--------------------
Gerar chaves e certificados SSL auto-assinados � simples:
# Gerando chaves para https
keyringer $project genpair ssl-self ssl/cert $domain
Caso voc� queira gerar apenas a chave e a requisi��o de certifica��o (CSR), use
keyringer $project genpair ssl ssl/cert $domain
Para a chaves e requisi��es CaCert, use
keyringer $project genpair ssl-cacert ssl/cert $domain
Gerando chaves para novos nodos
-------------------------------
# Gerando chaves ssh e gpg para novos nodos
# A importacao das chaves gpg nos nodos deve ser feita manualmente
hydra $project newkeys
Submetendo mudan�as
-------------------
# Submetendo
keyringer $project git remote add origin giolite@$admin.$domain:keyring.git
keyringer $project git push origin master
Importa��o de chaves GPG
------------------------
Importando chaves nos seus respectivos nodos:
hydra $project import-key
Chaves pessoais
===============
Para gerar uma chave SSH pessoal, use um comando do tipo
ssh-keygen -t rsa -b 4096 -f ~/.ssh/id_rsa -C "seu@email"
Esse comando ir� gerar uma **chave privada** em `~/.ssh/id_rsa` e uma respectiva **chave p�blica** em `~/.ssh/id_rsa.pub`. Se voc� j� possui uma chave em `~/.ssh/id_rsa` e quiser mant�-la, escolha outro nome para a nova chave, como por exemplo `~/.ssh/id_rsa_aplicacao`.
Senhas
------
Exemplo de gera��o de senhas usando o [pwgen](http://packages.debian.org/lenny/pwgen):
pwgen -s -y 25
Aten��o: muitos programas e configura��es podem n�o funcionar por conta do uso de caracteres especiais nas senhas. Assim, recomenda-se evitar alguns caracteres especiais -- por exemplo delimitadores de campo -- quando for o caso e/ou testar a senha ap�s a sua escolha.
Impress�es digitais
===================
Chaves SSL
----------
Chaves SSL podem ter seu fingerprint determinado atrav�s usando o [OpenSSL em linha de comando](http://www.madboa.com/geek/openssl), com linhas do tipo
openssl x509 -noout -in /etc/ssl/certs/cert.crt -fingerprint
openssl x509 -noout -in /etc/ssl/certs/cert.crt -fingerprint -md5
Chaves p�blicas SSH
-------------------
O seguinte comando retorna todas as fingerprints dos arquivos de chave p�blica ssh terminados em `.pub` no diret�rio `/etc/ssh/`:
hydractl ssh-finger
Para obter um fingerprint salvo no seu `~/.ssh/known_hosts` pessoal, use
ssh-keygen -l -F servidor.exemplo.org -f ~/.ssh/known_hosts
ssh-keygen -l -F [servidor.exemplo.org]:porta -f ~/.ssh/known_hosts
Monkeysphere
============
O [monkeysphere](http://web.monkeysphere.info) � um programa que permite a verifica��o de hosts SSH e usu�rios/as atrav�s da Teia de Confiabilidade do OpenPGP. Com ele, o gerenciamento de fingerprints fica mais f�cil e evita que p�ginas como esta centralizem informa��es que possam se desatualizar.
Al�m dos [usos j� documentados](http://web.monkeysphere.info/doc/), o monkeysphere pode ser utilizado tamb�m para autentica��o em sistemas que n�o possuem tal suporte:
monkeysphere gen-subkey # caso voce ainda nao tenha uma chave
mkdir -m 700 ~/.monkeysphere
echo "SEU-ID" >> ~/.monkeysphere/authorized_user_ids # exemplo: "Seu Nome <seu-email@example.org>"
touch ~/.ssh/id_rsa_monkeysphere.pub
chmod 600 ~/.ssh/id_rsa_monkeysphere.pub
MONKEYSPHERE_AUTHORIZED_KEYS=$HOME/.ssh/id_rsa_monkeysphere.pub monkeysphere update-authorized_keys
Agora, basta fornecer a chave localizada em `~/.ssh/id_rsa_monkeysphere.pub` para autentica��o :)
Hashes
======
Hashes s�o �teis para o armazenamento de senhas de usu�rio. S�o usados por exemplo no `shadow(5)`. Para gerar um hash compat�vel com o shadow (por exemplo para gest�o via [puppet-user](http://git.sarava.org/?p=puppet-user.git;a=summary)), utilize o seguinte comando dispon�vel no pacote [whois do Debian](https://packages.debian.org/stable/whois):
mkpasswd -m sha-256
Hashes para `htpasswd` s�o descritos [aqui](http://wiki.sarava.org/Ajuda/ProtegendoConteudo).
Exporta��o de assinaturas locais
================================
gpg --armor --export-options export-local-sigs --export KEYID
Refer�ncias
===========
* [Using ssh-agent with ssh](http://mah.everybody.org/docs/ssh).
* [Using Rsync and SSH ](http://troy.jdmz.net/rsync/index.html).
* [SSH and ssh-agent](http://www.securityfocus.com/infocus/1812).
|
