Bonjour,
Un utilisateur dispose d'une clef ssh privée et d'une clef publique rangés dans ~/.ssh/ , avec des droits 600.
S'il a copié la clef publique sur un serveur distant, l'agent local saura "lier la clef publique et la privée" pour lui donner accès à l'hôte distant sans besoin de saisir id et pwd.
Classique.
Quel est le mécanisme détaillé conduisant à l'authentification de l'utilisateur par l'hôte distant ?
(la clef privée reste sur l'hôte local ; comment la clef publique et la clef privée sont-elles liées ? par la création d'un jeton ? ou autre ? )
Stocker la clef privée localement avec pour seule protection des droits 600 me semble léger même si c'est habituel.
Si je décide de stocker la clef privée en dehors de l'hôte local, soit sur une clef flash déconnectée du réseau (avec ou sans chiffrement), soit carrément sur un HSM, comment dois-je procéder pour qu'elle soit utilisée par le système ?
En cherchant, j'ai lu des choses sur PAM que je n'ai jamais pratiqué.
https://linux.goffinet.org/administration/securite-locale/pluggable-authentication-modules-pam/
Puis-je utiliser ce qui existe (biblio PAM) pour faire communiquer l'hôte local et le HSM afin de réaliser une authentification ssh ?