Pada bagian kedua dari pertanyaan Anda, Anda sepertinya khawatir tentang notebook Anda dicuri dan, dengan itu, kunci pribadi Anda untuk login SSH-kurang-sandi ke server Anda.
Harap dicatat bahwa ini dapat dengan mudah diselesaikan (masalah kunci privat) dengan menyimpan kunci privat "terenkripsi" dengan "frasa sandi": mereka dapat dienkripsi pada awalnya, sambil menghasilkan dengan utilitas ssh-keygen , dengan memberikan frasa sandi di akhir proses pembuatan atau, jika Anda sudah membuatnya tidak diuraikan, gunakan utilitas ssh-keygen dengan -p
opsi. Setelah kunci dienkripsi, pada setiap login Anda diminta untuk memasukkan frasa sandi terkait dan .... jika benar, semuanya akan berjalan normal.
Juga, jika Anda tidak ingin memasukkan frasa sandi setiap kali meluncurkan klien ssh, Anda dapat menggunakan ssh-agent : ia dapat melacak, dalam memori, dari kunci pribadi yang tidak dienkripsi. Anda cukup menjalankan ssh-add yang menunjuk ke file yang menahan kunci terenkripsi dan, setelah meminta frasa sandi, kunci ditambahkan ke set yang dikelola oleh ssh-agent. Setelah itu, setiap kali klien SSH memerlukan kunci yang dilindungi frasa sandi, agen ssh secara transparan memberikan kunci pribadi yang tidak dienkripsi terkait kepada klien ssh. Jadi, bagi Anda, tidak perlu memasukkannya secara interaktif.
Harap dicatat bahwa ssh-agent dapat mengelola banyak kunci, dan jelas Anda dapat "menyetel" notebook / desktop Anda untuk meluncurkan ssh-add
utilitas (untuk mengisi set kunci ssh-agent) pada saat login / waktu mulai.
Juga, jika seseorang mencuri laptop Anda, kunci pribadi Anda mungkin bukan satu-satunya konten "sensitif" yang akan Anda berikan: harap dicatat bahwa dengan distribusi desktop Linux hari ini, SANGAT mudah untuk mengatur notebook yang mengandalkan "terenkripsi". "sistem file ( /home
sebagai starter, tetapi keseluruhan /
jika diperlukan). Jadi, tolong, pertimbangkan ini juga.
Semua hal di atas, jelas, TIDAK berlaku jika Anda TIDAK mengandalkan notebook ANDA SENDIRI .
PS: mengenai kemungkinan Anda untuk menyimpan dua bagian kunci pribadi yang tidak dienkripsi pada media yang berbeda: Saya sangat menyarankan Anda untuk tidak melakukan ini, karena menjaga dua potong konten sensitif dalam bentuk yang tidak terenkripsi jauh, jauh lebih buruk, daripada menyimpan dua salinan lengkap dari seluruh konten, dienkripsi!