2015/08/09

ssh秘密鍵更新メモ

Firefoxのゼロデイでssh秘密鍵が盗まれた可能性があるってことで、 念のため秘密鍵を新しくしたのでメモ。

• ログイン必要なサーバのsshdでパスワード認証を許可しとく(新旧二つの鍵を一時的に併用する方が安全かもしれない)
• 新しい鍵ペアをssh-keygen -t rsa -b 4096 -C "shiro@..." で作成。
• cat .ssh/id_rsa.pub | ssh $server 'cat >> .ssh/authorized_keys' (この時だけパスワード認証)
• ssh $server (ここからは公開鍵認証)してauthorized_keysを編集、古い公開鍵を消す。
• 公開鍵を登録したサービスの更新
  • github
  • sourceforge

こんなもんかと思ってたら、自サーバのgitサービスを忘れてた。これは gitoliteを使ってるんだけど、 ユーザの公開鍵を更新するにはgitolite-admin/keydirを編集してpushするという ワークフローなんだが、自分の鍵を変えちゃった後ではpushできない。 (アカウント自体はgitユーザのものでそもそもシステムレベルでパスワード認証不可にしてる。 普段はgitolite-adminをpushすれば~git/.ssh/authorized_keysが自動更新される 仕組み。) 安直に sudo vi ~git/.ssh/authorized_keysで 自分の公開鍵情報を書き換えてからpushしたけど、本来は新旧二つの鍵を持ってる時点で 更新しとくべきだった。

ところで本筋とは関係ないんだけど、「秘密鍵」「公開鍵」の読み方、 最初に大学で教わった時に「ひみつけん」「こうかいけん」って聞いたような覚えがかすかに あるんだけど(わざわざ「ここでの鍵はけんと読む」って先生が注釈してたような記憶まで)、 ぐぐっても「昔はこう読むこともあった」という話さえ全然出てこない。 1989～1990年頃なんだけど、少なくとも一部でそう読む文化があったのか、 それとも自分が夢でも見ていたのか(講義中に夢を見ていた、という可能性も少なくはない)、 はっきりしなくてもやもやしてる。

Tags: Computer, ssh