Innanzi tutto abbiamo bisogno di generare la chiave pubblica, questa può essere creata a partire dalla chiave privata già presente su dd-wrt oppure da una nuova che possiamo creare noi.
La creazione della chiave privata avviene tramite il comando dropbearkey:
dropbearkey -t rsa -f file_private_key.dbcon
-t possiamo specificare la chiave che può essere di tipo rsa o dss, mentre con -f indichiamo in quale file salvare la chiave privata. Ci verrà chiesto anche la passfrase da utilizzare per crittografare la chiave, che potrà anche non essere inserita se vogliamo che al momento del login del client ssh non venga richiesta nessuna password.Una volta che abbiamo la chiave privata possiamo creare la chiave pubblica così
dropbearkey -y -f file_private_key.dboppure così per partire dalla chiave privata già presente in dd-wrt
dropbearkey -y -f /tmp/root/.ssh/ssh_host_rsa_key
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgwCRmLfMW6fd
UTSxFdZyH8QTdrRn4QmuRPTF7vJOSCEoPfk7oo05OpMfKEZp
d7+pgQmCP4UjINHaX34dEoCah6aL4U6bH6QFLrCpk5H3DQap
OmFTVqW25/59ZHJEnRRei8o6DUJKh1g9776yP3X9+XtQ+Pucn
zuDpMK3FzWUK/qOEM57 david@nbdavid
Fingerprint: md5 ce:e8:a8:cf:d9:ed:11:63:ec:49:0e:b5:de:e3:cf:38l'output risultante sarà composto dalla chiave pubblica più il fingerprint, quello che a noi interessa è la chiave pubblica che potrà essere inserita nel file authorized_keys del server ssh a cui vogliamo accedere.
Però c'è un problema, l'implementazione di dropbear presente su dd-wrt (o almeno dd-wrt per SysLink 54GL) non supporta l'opzione
-y che è quella che ci permette di generare la chiave pubblica, infatti con il comando sopra indicato non verrò generato nessun output.Come risolvere il problema ?
Abbiamo bisogno di un'implementazione di dropbear funzionante su un altro pc, copiarci la chiave privata e generare li sopra la chiave pubblica da distribuire sui server ssh interessati.
È opportuno fare ATTENZIONE che la chiave privata non vada in mani sbagliate per non cadere in gravi problemi di sicurezza.
da dd-wrt copio la chiave privata su Ubuntu:
dd-wrt# scp /tmp/root/.ssh/ssh_host_rsa_key user@ubuntu:ssh_host_rsa_key.dd-wrtinstallo dropbear su ubuntu:
ubuntu# sudo apt-get install dropbeargenero la chiave pubblica a partire da quella privata e la metto in ssh_host_rsa_key.pub:
ubuntu# dropbear -y ssh_host_rsa_key.dd-wrt | grep -v Fingerprint > ssh_host_rsa_key.pubricopio la chiave privata appena generata su dd-wrt:
ubuntu# scp ssh_host_rsa_key.pub user@dd-wrt:.ssh/.ora per motivi di sicurezza eliminiamo sia la chiave privata sia quella pubblica appena generata dal pc di transito.
A questo punto su dd-wrt avremo la chiave pubblica appena creata nel file
/tmp/root/.ssh/ssh_host_rsa_key.pub da utilizzare per essere distribuita su i server a cui vorremo accedere. Ricordiamo che dd-wrt utilizza filesystem volatile, nel momento che lo riavvieremo il file sparirà quindi è opportuno conservarlo in una memoria non volatile, magari una partizione jffs sempre sullo stesso dd-wrt.Una volta impostata la chiave pubblica sul server interessato potremo accederci da dd-wrt in questo modo:
ssh user@server -i /tmp/root/.ssh/ssh_host_rsa_keycon l'opzione
-i dobbiamo indicare la chiave privata da utilizzare per la connessione.Nel caso non avessimo utilizzato una passfrase non ci verrà richiesta nessuna password di accesso. Se vogliamo utilizzare ssh come client all'interno di uno script shell potrebbe essere opportuno indicare l'opzione
-y con la quale non viene chiesta nessuna conferma sul fingerprint.
Post
Nessun commento:
Posta un commento