Goeiendag,
De 'ssh-agent' is een sleutelbos, hier kan je meerdere types sleutels in kwijt.
Commando's die je mogelijk nodig hebt:
# Om via SSH in te loggen met een specifieke key
ssh -i /pad-naar-key
# Om een key aan een bestaande agent toe te voegen
ssh-add /pad-naar-key
Je kunt verschillende keys gebruiken om bij een bepaalde host in te loggen.
Deze keys staan in de map .ssh, dan het authorized_keys bestand. Dit kan je
inzien via bijvoorbeeld:
vim ~/.ssh/authorized_keys
De meeste Desktop besturingssystemen, ik gebruik momenteel Fedora, maar volgens
mij heeft Debian dat ook wel, gebruiken een 'fork' van ssh-agent die
automatisch je desktop sleutelbos (keyring) koppelt, in mijn geval de
gnome-keyring. Dat betekent dat ik ook in de grafische sleutelbos keys kan
toevoegen. Dit is dan standaard permanent.
Je kunt ook meerdere private keys (identities) toevoegen in de configuratie van
je ssh client, de IdentityFile regel mag je herhalen voor elke private key die
je gebruikt.
In mijn geval gebruik ik het overigens bewust niet. Ik heb ook een 'oude' key,
maar als ik op servers probeer in te loggen die mijn nieuwe key nog niet hebben
krijg ik een access denied, dan weet ik dat ik de key nog moet vervangen en kan
dan alsnog met ssh -i inloggen. Als ik mijn oude key aan mijn SSH configuratie
zou toevoegen zou ik dit niet zien.
vim ~/.ssh/config
IdentityFile /pad/naar/je/private/key
Ik heb zelf alle configuratie alleen voor specifieke hosts, waarschijnlijk kan
je zelf ook wel zoiets verzinnen voor jouw situatie:
Host *.klanta.nl *.klantb.net *.klantc.net 123.123.123.*
ForwardAgent yes
Host *.andereklant.nl
ForwardAgent yes
IdentityFile /home/mijnusername/.ssh/id_rsa
IdentitiesOnly yes
RSA is de nieuwe 'standaard' encryptie voor SSH sleutels. Het is een slecht
onderbouwde reden, maar in de basis zou ik zeggen dat het Debian security team
over het algemeen wel redelijk weet waar ze mee bezig zijn, dus als zij een
bepaald type key als 'standaard' gebruiken zou ik daar normaal gesproken niet
van afwijken. Betere onderbouwing is vast op internet wel te vinden.
Ik kan mij in mijn werkzame leven van meer dan 10 jaar niet herinneren dat ik
ooit DSA keys heb gebruikt voor 'eigen' servers, dus ik denk dat die al even
verouderd zijn.
Met vriendelijke groet,
Germ van Eck
Appbakkers B.V. | Aagje Dekenstraat 51 | 8023 BZ Zwolle | T. +31 (0) 38 3032600
| W. www.appbakkers.nl
----- Oorspronkelijk bericht -----
> Van: "Paul van der Vlis" <p...@vandervlis.nl>
> Aan: debian-user-dutch@lists.debian.org
> Verzonden: Donderdag 15 juni 2017 13:17:06
> Onderwerp: Welke SSH key?
> Hallo,
>
> Ik gebruik al lange tijd een DSA key, deze zit ingebakken in vele
> computers van mijzelf en klanten. Tot mijn schrik werkt de key niet op
> computers met Debian 9.
> Het beste lijkt me nu om een nieuwe key te gaan gebruiken.
>
> Welk type raden jullie aan?
>
> Ik neem aan dat de ssh-client nog wel om kan gaan met dsa-keys, of moet
> ik nu plots overal die keys gaan vervangen?
>
> Is een DSA key niet erg veilig meer?
>
> Functioneert zo'n modern type key ook op oude systemen?
>
> Ik heb een script wat eenmalig vraagt om een paswoord, en dan vele
> machines gaat benaderen. Het doet zoiets:
> eval `ssh-agent`
> ssh-add
> Is zoiets ook te doen voor meerdere keys?
>
> Vele vragen, misschien is er hier iemand die iets zinnigs kan zeggen.
>
> Groeten,
> Paul
>
> --
> Paul van der Vlis Linux systeembeheer Groningen
> https://www.vandervlis.nl/
