Linux SSH Login w/Certificat Expiration

ou même des clés privées.

Pourquoi serait vous avez déjà envoyé des clés privées ? Demandez à l'utilisateur de générer sa propre paire de clés et de lui faire envoyer vous la clé publique.

Est-il possible de générer des clés qui expirent dans +3 jours après la génération,

En supposant que le serveur utilise OpenSSH, il y a deux façons de procéder :

• Certificats : Supporté avec OpenSSH 5.4 ou plus récent, mais todo les utilisateurs doivent utiliser OpenSSH également - les certificats générés ne fonctionnent pas avec PuTTY ou d'autres clients.

  Générer d'abord une clé SSH "d'autorité" avec ssh-keygen et le répertorier dans la configuration du serveur (en utilisant la directive TrustedUserCAKeys ), puis l'utiliser pour émettre des certificats d'utilisateur.

  Pour délivrer un certificat : Lorsque l'utilisateur vous envoie son id_rsa.pub et le signer avec la clé CA. Une fois signé, envoyez le nouveau fichier id_rsa.pub-cert à l'utilisateur.

  ssh-keygen -s ~/private/user_ca -I user_fred -n fred -V +3d fred_id_rsa.pub

  Ici -n spécifie qui peut se connecter en utilisant le certificat, et -V fixe son délai d'expiration. (La -I définit simplement un nom arbitraire pour le certificat lui-même).

• clés_autorisées : Pris en charge avec OpenSSH 7.7 ou plus, sans aucune exigence de client. L'information d'expiration n'est pas stockée dans la clé elle-même, mais dans le fichier de configuration du serveur clés_autorisées fichier :

  expiry-time="20180704" ssh-ed25519 AAAAC3NzaC1lZDI1NTE...

  Page du manuel sshd(8) les formats de temps autorisés sont YYYYMMDD y YYYYMMDDHHMM[SS] dans le fuseau horaire principal du serveur.

  Notez que cette méthode n'est sûre que si l'utilisateur est empêché de modifier son fichier authorized_keys, sinon il pourrait simplement prolonger le délai d'expiration !