Chuletillas (y IV) – Generar parejas de claves con OpenSSH

Josemaría

hace 16 años

Imagino que a estas alturas ya lo sabe todo el mundo pero, por si acaso, insisto: Todos los certificados y parejas de claves generados durante los dos últimos años desde una distribución Debian o derivada (Ubuntu, Xandros, Mepis, Mint, etc.) y que se usen para cifrar una comunicación segura por https, para dar acceso a un servidor por ssh, etc., han de ser revocadas y vueltas a crear desde una distribución actualizada lo antes posible. Quién quiera algo más de información de lo que ha pasado con esto y de las posibles consecuencias puede leerse este post de Hispasec o, en inglés, este otro de Metasploit.

Generar una pareja de claves nueva para acceder por ssh a un servidor es tan fácil como esto:

josemaria@penique:~$ ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/home/josemaria/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/josemaria .ssh/id_rsa. Your public key has been saved in /home/josemaria/.ssh/id_rsa.pub. The key fingerprint is: 8a:75:13:c9:95:f6:c0:89:e0:4c:97:5e:7a:13:f7:63

La clave pública se guarda en el fichero id_rsa.pub dentro de un directorio oculto llamado .ssh que se encuentra en nuestro $HOME. La clave privada, que no debe de salir de ahí salvo para hacer copias de seguridad, se encuentra en ese mismo directorio.

El comando para cambiar la contraseña de una pareja de claves es este (pero, ojo, esto no sustituye la clave débil por otra y, por tanto, no corrige este problema):

josemaria@penique:~$ ssh-keygen -p

ACTUALIZACI�?N: MercÃ¨ Molist publica hoy a travÃ©s de su blog una nota informativa sobre este error y una entrevista con Jordi Mallach, desarrollador de Debian.

Comparte esto: