Filtri Menu 0 0.00

Condivisione Chiavi SSH – SSH Shared Key

30/12/1899
Condivisione Chiavi SSH – SSH Shared Key

Condivisione Chiavi SSH

Introduzione

In questo articolo vediamo come generare e condividere chiavi SSH in modo sicuro ed efficiente, analizzando le differenze tra RSA a 4096 bit e Ed25519.

Generazione di Chiavi Complesse

Per creare chiavi robuste:

# RSA a 4096 bit
ssh-keygen -t rsa -b 4096 -C "tuo.email@example.com"

# Ed25519 (256 bit)
ssh-keygen -t ed25519 -C "tuo.email@example.com"
  • RSA 4096: massima compatibilità, ma operazioni più lente.
  • Ed25519: chiavi compatte, sicurezza moderna e prestazioni maggiori.

Condivisione delle Chiavi

Copiare la chiave pubblica sul server remoto:

ssh-copy-id -i ~/.ssh/id_ed25519.pub utente@host_remoto

Oppure manualmente:

cat ~/.ssh/id_ed25519.pub | ssh utente@host_remoto "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"

Sicurezza e Best Practice

  • Proteggi la chiave privata con una passphrase.
  • Usa agent forwarding con cautela.
  • Centralizza la gestione delle chiavi con ssh-agent o Ansible Vault.

Conclusione

Le chiavi SSH ben configurate garantiscono comunicazioni cifrate e semplificano l’accesso remoto. RSA rimane utile per ambienti legacy, mentre Ed25519 è consigliato per deployment moderni.

Sicurezza Avanzata, Durata delle Chiavi e Quando Evitare l’Uso

  • Sicurezza della Passphrase:
    Proteggi sempre la tua chiave privata con una passphrase robusta (minimo 12 caratteri, mix di lettere, numeri e simboli). In caso di furto, senza passphrase un attaccante potrebbe usarla immediatamente.
  • Durata e Rinnovo:
    Anche le chiavi più robuste dovrebbero essere rinnovate periodicamente. Una buona pratica è rigenerare RSA-4096 ogni 1–2 anni, Ed25519 ogni 3–5 anni, o subito in caso di sospetto compromissione.
  • Restrizioni di Utilizzo:
    – Non usare la stessa chiave per accessi a sistemi critici e meno critici: crea più coppie (es. staging vs. produzione).
    – Evita di abilitare l’agent forwarding su server non di fiducia, perché un compromesso remoto potrebbe “rubare” la tua chiave in agent.
  • Casi in cui Preferire Password o Altri Metodi:
    – Se l’ambiente non supporta agent forwarding o hardware token, una password forte (con 2FA) potrebbe essere più semplice da gestire.
    – Per accessi occasionali a macchine usa e getta, considera sessioni SSH temporanee con OTP (One‑Time Password) o strumenti come Teleport.
  • Hardware Token e HSM:
    Per la massima sicurezza, memorizza la chiave privata in un device esterno (YubiKey, smartcard o HSM), in modo che non lasci mai l’hardware sicuro.
Condividi:

Iscriviti alla newsletter

Iscriviti alla nostra newsletter per ricevere offerte di sconto anticipate, aggiornamenti e informazioni sui nuovi prodotti.
Top