Originalmente publiqué esto en Seguridad de la información pero espero atraer responde aquí ya que esto es específico de OSX.
Así que soy bastante nuevo en formas más seguras de administración de claves, he estado acostumbrado a almacenar mis claves dentro de los archivos clave en mi computadora. Recientemente quise probar y ver si podía configurar la autenticación SSH en mi servidor web usando una clave almacenada en mi NitroKeyPro para que mi llavero sea más portátil y seguro en el proceso.
Seguí esta guía enlace bastante paso a paso pero noté que al final, no necesitaba que mi NitroKeyPro se insertara en mi computadora para que la autenticación tuviera éxito.
Tengo la sensación de que al exportar mi clave, de alguna manera se agregó a mi almacenamiento de claves local, lo que hace que la NitroKey sea redundante, pero no estoy lo suficientemente informado sobre el funcionamiento exacto para estar seguro.
¿Alguien podría ayudarme a garantizar que solo pueda SSH en mi servidor web mientras mi NitroKey está insertada en mi computadora?
Notas:
- OS: OSX El Capitan 10.11.4
- NitroKeyPro
- Incluso cuando se inserta la NitroKey en mi computadora, NO me pide que ingrese un pin cuando intento SSH.
- OpenSC 0.15.0
- gpg 2.0.28
Intenté eliminar de ~/.ssh lo siguiente:
id.rsa
private_key.pem
después de intentar SSH en mi servidor web nuevamente, obtengo:
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
Supongo que esto indica que la sesión SSH no puede encontrar mi clave para autenticarme, comprobé si mi computadora detectaba la NitroKey al ejecutar:
gpg --card-status
y recibí la información de la tarjeta como esperaba.