Differences

This shows you the differences between two versions of the page.

--- linuxdebian:fido2-ssh [2025/09/20 12:51] – created - external edit 127.0.0.1
+++ linuxdebian:fido2-ssh [2025/09/22 15:26] (current) – kurgan
@@ Line 57: / Line 57: @@
   * Quando viene chiesta la passphrase, premere invio per lasciarla vuota. Non ci serve, abbiamo già il PIN.
-Ora la generazione dovrebbe essere completa e avremo due files dentro {{{.ssh}}} nella nostra home, con nome {{{ed25519-sk}}} e ''ed25519-sk.pub''. Notare che mentre il file pub contiene esattamente la chiave pubblica, che poi metteremo sui vari sistemi remoti a quali dobbiamo accedere, il file che normalmente conterrebbe la chiave privata contiene in realtà un riferimento all' ID della chiave che si trova dentro al nostro token FIDO2, ergo è impossibile usarlo per autenticarsi senza il token.
+Ora la generazione dovrebbe essere completa e avremo due files dentro ''.ssh'' nella nostra home, con nome ''ed25519-sk'' e ''ed25519-sk.pub''. Notare che mentre il file pub contiene esattamente la chiave pubblica, che poi metteremo sui vari sistemi remoti a quali dobbiamo accedere, il file che normalmente conterrebbe la chiave privata contiene in realtà un riferimento all' ID della chiave che si trova dentro al nostro token FIDO2, ergo è impossibile usarlo per autenticarsi senza il token.
 ===== Per usare il token su un altro computer =====
-Ora di fatto per autenticarci dobbiamo avere con noi il token, ma ci serve anche avere i files {{{ed25519-sk}}} e ''ed25519-sk.pub''. Questi files possono facilmente essere rigenerati dal token stesso, quindi se dovessimo perderli, o se volessimo usare un altro computer, potremmo senza problemi ricreare i files in questione.
+Ora di fatto per autenticarci dobbiamo avere con noi il token, ma ci serve anche avere i files ''ed25519-sk'' e ''ed25519-sk.pub''. Questi files possono facilmente essere rigenerati dal token stesso, quindi se dovessimo perderli, o se volessimo usare un altro computer, potremmo senza problemi ricreare i files in questione.
   * Infilare la chiavetta
@@ Line 74: / Line 74: @@
 ===== Per usare il token in SSH =====
-C'è un bug in alcune versioni di Ubuntu e Mint per cui se vogliamo che funzioni il nostro sistema FIDO2 dobbiamo passare a ssh il parametro {{{-o "IdentityAgent=none"}}}. Questo è scomodo perché in questo modo dobbiamo usare un comando specifico se vogliamo usare il token FIDO2 e un comando diverso (senza la stringa ''-o "IdentityAgent=none"'') se vogliamo usae una coppia di chiavi pubblica/privata "tradizionale"
+C'è un bug in alcune versioni di Ubuntu e Mint per cui se vogliamo che funzioni il nostro sistema FIDO2 dobbiamo passare a ssh il parametro ''-o "IdentityAgent=none"''. Questo è scomodo perché in questo modo dobbiamo usare un comando specifico se vogliamo usare il token FIDO2 e un comando diverso (senza la stringa ''-o "IdentityAgent=none"'') se vogliamo usae una coppia di chiavi pubblica/privata "tradizionale"
 <code>
@@ Line 88: / Line 88: @@
 ===== Configurazione del server SSH =====
-Dal punto di vista del server SSH si tratta di una normale autenticazione con chiave pubblica/privata, qundi occorre copiare il contenuto della chiave pubblica {{{ed25519-sk.pub}}} dentro al file ''.ssh/authorized_keys'' sul server, e questo è sufficiente a fare funzionare tutto quanto.
+Dal punto di vista del server SSH si tratta di una normale autenticazione con chiave pubblica/privata, qundi occorre copiare il contenuto della chiave pubblica ''ed25519-sk.pub'' dentro al file ''.ssh/authorized_keys'' sul server, e questo è sufficiente a fare funzionare tutto quanto.
 Se però vogliamo rendere il server compliant dobbiamo assicurarci che nessun altro metodo funzioni, in particolare che non funzionino le password, quindi possiamo configurarlo modificando sshd_config in questo modo: