summaryrefslogtreecommitdiff
path: root/keys.mdwn
blob: 404569c97e2b86c5b3c9ed6d9addf8a0c8f6b7ae (plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
[[!toc levels=4]]

Reposit�rio de chaves
=====================

Configura��o
------------

A maior parte dos procedimentos a seguir depende do aplicativo [keyringer](http://git.sarava.org/?p=keyringer.git;a=summary), da [Hydra Suite](http://git.sarava.org/?p=hydra.git;a=summary) e de uma configura��o do tipo

    # Configuracao
    project="exemplo"
    domain="exemplo.org"
    admin="nodo_admin"
    admin_port="porta_ssh"
    base="$HOME/grupos/$project/conf"

Inicializando um reposit�rio
----------------------------
    
    # Inicializando
    keyringer $project init $base/keyring

Gerando chaves https
--------------------

Gerar chaves e certificados SSL auto-assinados � simples:
    
    # Gerando chaves para https
    keyringer $project genpair ssl-self ssl/cert $domain

Caso voc� queira gerar apenas a chave e a requisi��o de certifica��o (CSR), use

    keyringer $project genpair ssl ssl/cert $domain

Para a chaves e requisi��es CaCert, use

    keyringer $project genpair ssl-cacert ssl/cert $domain

Gerando chaves para novos nodos
-------------------------------
    
    # Gerando chaves ssh e gpg para novos nodos
    # A importacao das chaves gpg nos nodos deve ser feita manualmente
    hydra $project newkeys

Submetendo mudan�as
-------------------
    
    # Submetendo
    keyringer $project git remote add origin giolite@$admin.$domain:keyring.git
    keyringer $project git push origin master

Importa��o de chaves GPG
------------------------

Importando chaves nos seus respectivos nodos:

    hydra $project import-key 

Chaves pessoais
===============

Para gerar uma chave SSH pessoal, use um comando do tipo

    ssh-keygen -t rsa -b 4096 -f ~/.ssh/id_rsa -C "seu@email"

Esse comando ir� gerar uma **chave privada** em `~/.ssh/id_rsa` e uma respectiva **chave p�blica** em `~/.ssh/id_rsa.pub`. Se voc� j� possui uma chave em `~/.ssh/id_rsa` e quiser mant�-la, escolha outro nome para a nova chave, como por exemplo `~/.ssh/id_rsa_aplicacao`.

Senhas
------

Exemplo de gera��o de senhas usando o [pwgen](http://packages.debian.org/lenny/pwgen):

    pwgen -s -y 25

Aten��o: muitos programas e configura��es podem n�o funcionar por conta do uso de caracteres especiais nas senhas. Assim, recomenda-se evitar alguns caracteres especiais -- por exemplo delimitadores de campo -- quando for o caso e/ou testar a senha ap�s a sua escolha.

Impress�es digitais
===================

Chaves SSL
----------

Chaves SSL podem ter seu fingerprint determinado atrav�s usando o [OpenSSL em linha de comando](http://www.madboa.com/geek/openssl), com linhas do tipo

    openssl x509 -noout -in /etc/ssl/certs/cert.crt -fingerprint
    openssl x509 -noout -in /etc/ssl/certs/cert.crt -fingerprint -md5

Chaves p�blicas SSH
-------------------

O seguinte comando retorna todas as fingerprints dos arquivos de chave p�blica ssh terminados em `.pub` no diret�rio `/etc/ssh/`:

    hydractl ssh-finger

Para obter um fingerprint salvo no seu `~/.ssh/known_hosts` pessoal, use

    ssh-keygen -l -F  servidor.exemplo.org        -f ~/.ssh/known_hosts
    ssh-keygen -l -F [servidor.exemplo.org]:porta -f ~/.ssh/known_hosts

Monkeysphere
============

O [monkeysphere](http://web.monkeysphere.info) � um programa que permite a verifica��o de hosts SSH e usu�rios/as atrav�s da Teia de Confiabilidade do OpenPGP. Com ele, o gerenciamento de fingerprints fica mais f�cil e evita que p�ginas como esta centralizem informa��es que possam se desatualizar.

Al�m dos [usos j� documentados](http://web.monkeysphere.info/doc/), o monkeysphere pode ser utilizado tamb�m para autentica��o em sistemas que n�o possuem tal suporte:

    monkeysphere gen-subkey                              # caso voce ainda nao tenha uma chave
    mkdir -m 700 ~/.monkeysphere
    echo "SEU-ID" >> ~/.monkeysphere/authorized_user_ids # exemplo: "Seu Nome <seu-email@example.org>"
    touch ~/.ssh/id_rsa_monkeysphere.pub
    chmod 600 ~/.ssh/id_rsa_monkeysphere.pub
    MONKEYSPHERE_AUTHORIZED_KEYS=$HOME/.ssh/id_rsa_monkeysphere.pub monkeysphere update-authorized_keys

Agora, basta fornecer a chave localizada em `~/.ssh/id_rsa_monkeysphere.pub` para autentica��o :)

Hashes
======

Hashes s�o �teis para o armazenamento de senhas de usu�rio. S�o usados por exemplo no `shadow(5)`. Para gerar um hash compat�vel com o shadow (por exemplo para gest�o via [puppet-user](http://git.sarava.org/?p=puppet-user.git;a=summary)), utilize o seguinte comando dispon�vel no pacote [whois do Debian](https://packages.debian.org/stable/whois):

    mkpasswd -m sha-256

Hashes para `htpasswd` s�o descritos [aqui](http://wiki.sarava.org/Ajuda/ProtegendoConteudo).

Exporta��o de assinaturas locais
================================

    gpg --armor --export-options export-local-sigs --export KEYID

Refer�ncias
===========

* [Using ssh-agent with ssh](http://mah.everybody.org/docs/ssh).
* [Using Rsync and SSH ](http://troy.jdmz.net/rsync/index.html).
* [SSH and ssh-agent](http://www.securityfocus.com/infocus/1812).