Re: ssh agent
On Tue, Oct 29, 2013 at 09:46:03PM +0400, Mikhail A Antonov wrote: > On 29/10/13 19:12, Stanislav Maslovski wrote: > > Нужный функционал есть у gpg-agent, который может эмулировать протокол > > ssh-agent-а. Как настроить, описано в man gpg-agent. После настройки > > необходимо добавить SSH-ключи в пул gpg-agent-a с помощью ssh-add. > > > > После этого про ssh-add можно забыть, т.к. добавленные SSH-ключи будут > > сохранены в зашифрованном виде внутри ~/.gnupg/ (т.е., весь твой зоопарк > > необязательно держать в ~/.ssh/, если ключи нужны только для логинов). > > > > При первом старте ssh сессии gpg-agent запустит pinentry для ввода > > пароля, расшифрует ключ, и дальше будет работать с ним в целом так же, > > как и ssh-agent. > > > А форвадится он нормально? Т.е. если я авторизуюсь ключиком на хосте, с > него пойду на другой хост, агент будет проброшен? Да. Причём, другой хост может хотеть другого ключа из пула. -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20131029185119.GA28555@kaiba.homelan
Re: ssh agent
Mikhail A Antonov -> debian-russian@lists.debian.org @ Tue, 29 Oct 2013 21:46:03 +0400: >> Нужный функционал есть у gpg-agent, который может эмулировать протокол >> ssh-agent-а. Как настроить, описано в man gpg-agent. После настройки >> необходимо добавить SSH-ключи в пул gpg-agent-a с помощью ssh-add. >> >> После этого про ssh-add можно забыть, т.к. добавленные SSH-ключи будут >> сохранены в зашифрованном виде внутри ~/.gnupg/ (т.е., весь твой зоопарк >> необязательно держать в ~/.ssh/, если ключи нужны только для логинов). >> >> При первом старте ssh сессии gpg-agent запустит pinentry для ввода >> пароля, расшифрует ключ, и дальше будет работать с ним в целом так же, >> как и ssh-agent. >> >> В сети имеется (лично мной не проверенная) информация, что последние >> версии gpg и gpg-agent умеют обходиться вообще без SSH-ключей при >> эмуляции ssh-agent-а (т.е., могут использовать RSA/DSA компоненты >> gpg-ключа для этой цели). >> MAA> А форвадится он нормально? Т.е. если я авторизуюсь ключиком на хосте, с MAA> него пойду на другой хост, агент будет проброшен? А с чего бы ему форвардиться ненормально? Форвардит сам ssh. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/877gcvc3pg@wizzle.ran.pp.ru
Re: ssh agent
On 29/10/13 19:12, Stanislav Maslovski wrote: > Нужный функционал есть у gpg-agent, который может эмулировать протокол > ssh-agent-а. Как настроить, описано в man gpg-agent. После настройки > необходимо добавить SSH-ключи в пул gpg-agent-a с помощью ssh-add. > > После этого про ssh-add можно забыть, т.к. добавленные SSH-ключи будут > сохранены в зашифрованном виде внутри ~/.gnupg/ (т.е., весь твой зоопарк > необязательно держать в ~/.ssh/, если ключи нужны только для логинов). > > При первом старте ssh сессии gpg-agent запустит pinentry для ввода > пароля, расшифрует ключ, и дальше будет работать с ним в целом так же, > как и ssh-agent. > > В сети имеется (лично мной не проверенная) информация, что последние > версии gpg и gpg-agent умеют обходиться вообще без SSH-ключей при > эмуляции ssh-agent-а (т.е., могут использовать RSA/DSA компоненты > gpg-ключа для этой цели). > А форвадится он нормально? Т.е. если я авторизуюсь ключиком на хосте, с него пойду на другой хост, агент будет проброшен? -- Best regards, Mikhail - WWW: http://www.antmix.ru/ XMPP: ant...@stopicq.ru signature.asc Description: OpenPGP digital signature
Re: ssh agent
On Wed, Oct 16, 2013 at 02:33:51AM +0400, sergio wrote: > On 15/10/13 21:53, Andrey Rahmatullin wrote: > > >> On 15.10.13 2031 (+0400), sergio wrote: > > >>> Хочется что бы ssh agent запрашивал пароль и расшифровывал ключ > >>> после первой попытки сказать ssh с дальнейшим продолжением > >>> авторизации. > > > Ничего подобного ssh-agent сам не делает. > > /usr/bin/ssh-agent из openssh-client не делает, о том и речь, в отличии > от гномового. Нужный функционал есть у gpg-agent, который может эмулировать протокол ssh-agent-а. Как настроить, описано в man gpg-agent. После настройки необходимо добавить SSH-ключи в пул gpg-agent-a с помощью ssh-add. После этого про ssh-add можно забыть, т.к. добавленные SSH-ключи будут сохранены в зашифрованном виде внутри ~/.gnupg/ (т.е., весь твой зоопарк необязательно держать в ~/.ssh/, если ключи нужны только для логинов). При первом старте ssh сессии gpg-agent запустит pinentry для ввода пароля, расшифрует ключ, и дальше будет работать с ним в целом так же, как и ssh-agent. В сети имеется (лично мной не проверенная) информация, что последние версии gpg и gpg-agent умеют обходиться вообще без SSH-ключей при эмуляции ssh-agent-а (т.е., могут использовать RSA/DSA компоненты gpg-ключа для этой цели). -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20131029151209.GA8610@kaiba.homelan
Re: ssh agent auth
On 16/10/13 16:37, Artem Chuprina wrote: > >> username ALL = NOPASSWD: command > А там недаром в конце написано не ALL, а command :) Не заметил, но такие строчки у меня уже есть. -- sergio. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/525e8cf8.9070...@sergio.spb.ru
Re: ssh agent auth
sergio -> debian-russian@lists.debian.org @ Wed, 16 Oct 2013 13:47:24 +0400: >> username ALL = NOPASSWD: command >> Поручик, молчать!!! :) s> Хотел написать про безпарольное судо, но забил. s> В общем, я очкую (: А там недаром в конце написано не ALL, а command :) Впрочем, на большинстве хостов у меня именно что беспарольное. Парольное только на торчащих в интернет кучей протоколов серверах, где я сам интерактивно бываю нечасто. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/874n8hv1bj@wizzle.ran.pp.ru
Re: ssh agent
Eugene Berdnikov -> debian-russian@lists.debian.org @ Wed, 16 Oct 2013 13:27:52 +0400: >> EB> Может, я совсем туп, но плохо представляю, как правильно украсть >> ключ(и), >> EB> даже добравшись до клавиатуры с машиной, на которой запущен ssh-agent. >> EB> Теоретически вроде так: нужно чем-то память этого агента прочитать, >> унести >> EB> в укромное место, а потом из мешанины байтов выковыривать нужные. >> >> На самом деле все, скорее всего, гораздо проще. Он хранит ключи ни разу >> не в случайном месте памяти. Посидеть один раз с бинарником и >> дебаггером, изучить паттерны, по которым искать, и можно написать >> робота. EB> Если проще и быстрее, то лучше паяльник. :) А это для случая когда EB> хочется бюджет попилить, а потом обеспечить себя и свою контору EB> работой на полгода. Паяльник - это когда тебе нужен конкретный, а робот - когда нужен любой, и желательно побольше. Иначе бы роботов не писали. (known_hosts, разумеется, тоже можно прихватить, так что куда деть потом этот ключ, понятно.) Ну и у робота есть еще одно преимущество. Он с большей вероятностью, чем паяльник, останется незамеченным. Это порой важно. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87bo2pv1h8@wizzle.ran.pp.ru
Re: ssh agent auth
On Tue, Oct 15, 2013 at 08:19:43PM +0400, sergio wrote: > Всем привет. > > Как-то я утомился каждый раз для судо вводить пароль и вот ищу > что-нибудь на замену. > > Я слышал про авторизацию по ssh ключам через ssh agent. Тут есть > кто-нибудь кто её исользует и может что-нибудь рассказать? Почему ничего > подобного нет в дистрибутеве и какие тонкие моменты есть в такой схеме? По поводу того, почему нет в дистрибутиве, см. http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=595817 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20131016100949.GA32220@localhost.localdomain
Re: ssh agent
16.10.2013 12:39, Eugene Berdnikov пишет: On Wed, Oct 16, 2013 at 01:11:40PM +0400, Mikhail A Antonov wrote: On 16/10/13 11:45, Eugene Berdnikov wrote: Сильно облегачает? И как часто? :) Не часто, но если случится - лучше чтобы был путь к отступлению :) Может, я совсем туп, но плохо представляю, как правильно украсть ключ(и), даже добравшись до клавиатуры с машиной, на которой запущен ssh-agent. Теоретически вроде так: нужно чем-то память этого агента прочитать, унести в укромное место, а потом из мешанины байтов выковыривать нужные. Занятие, прямо скажем, не для слабых духом... да и телом, наверное, тоже. Не из агента. Умыкнуть файл с приватным ключом проще. Ну и потом у себя в укромном уголке его ковырять. Файл с ключом не ковырять, а дешифровать надо. Причём без автономного критерия правильности дешифровки, что делает процесс немного грустным... :) Про дешифрацию приватных ключей: http://habrahabr.ru/post/181320/ -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/525e6472.30...@gmail.com
Re: ssh agent
On Wed, Oct 16, 2013 at 01:09:16PM +0400, Иван Лох wrote: > > На самом деле все, скорее всего, гораздо проще. Он хранит ключи ни разу > > не в случайном месте памяти. Посидеть один раз с бинарником и > > дебаггером, изучить паттерны, по которым искать, и можно написать > > робота. > > Файл: «/usr/bin/ssh-agent» > Доступ: (2755/-rwxr-sr-x) Uid: (0/root) Gid: ( 106/ ssh) > > Конечно не в случайном ;))) Просто эту область памяти может читать лишь тот, кто принадлежит к группе ssh. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20131016095334.gc19...@nano.ioffe.rssi.ru
Re: ssh agent auth
On 15/10/13 20:32, Иван Лох wrote: > username ALL = NOPASSWD: command > Поручик, молчать!!! :) Хотел написать про безпарольное судо, но забил. В общем, я очкую (: -- sergio. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/525e60ac.9000...@sergio.spb.ru
Re: ssh agent
On Wed, Oct 16, 2013 at 01:11:40PM +0400, Mikhail A Antonov wrote: > On 16/10/13 11:45, Eugene Berdnikov wrote: > > Сильно облегачает? И как часто? :) > Не часто, но если случится - лучше чтобы был путь к отступлению :) > > > Может, я совсем туп, но плохо представляю, как правильно украсть ключ(и), > > даже добравшись до клавиатуры с машиной, на которой запущен ssh-agent. > > Теоретически вроде так: нужно чем-то память этого агента прочитать, унести > > в укромное место, а потом из мешанины байтов выковыривать нужные. > > Занятие, прямо скажем, не для слабых духом... да и телом, наверное, тоже. > Не из агента. Умыкнуть файл с приватным ключом проще. Ну и потом у себя > в укромном уголке его ковырять. Файл с ключом не ковырять, а дешифровать надо. Причём без автономного критерия правильности дешифровки, что делает процесс немного грустным... :) -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20131016093958.gy17...@protva.ru
Re: ssh agent
On Wed, Oct 16, 2013 at 01:04:43PM +0400, Artem Chuprina wrote: > Eugene Berdnikov -> debian-russian@lists.debian.org @ Wed, 16 Oct 2013 > 11:45:11 +0400: > EB> Может, я совсем туп, но плохо представляю, как правильно украсть > ключ(и), > EB> даже добравшись до клавиатуры с машиной, на которой запущен ssh-agent. > EB> Теоретически вроде так: нужно чем-то память этого агента прочитать, > унести > EB> в укромное место, а потом из мешанины байтов выковыривать нужные. > > На самом деле все, скорее всего, гораздо проще. Он хранит ключи ни разу > не в случайном месте памяти. Посидеть один раз с бинарником и > дебаггером, изучить паттерны, по которым искать, и можно написать > робота. Если проще и быстрее, то лучше паяльник. :) А это для случая когда хочется бюджет попилить, а потом обеспечить себя и свою контору работой на полгода. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20131016092752.gx17...@protva.ru
Re: ssh agent
On 15/10/13 22:02, Victor Wagner wrote: > On 2013.10.15 at 21:01:47 +0400, Eugene Berdnikov wrote: > >> Я понимаю, что у человека может быть несколько пластиковых карточек. >> Но зачем делать себе несколько ключей ssh? > Ну я, например, делаю по отдельному ключу для каждого устройства на > экран которого я могу глядеть (год назад бы сказал "на клавиатуре > которого могу набирать, но теперь у меня есть одно устройство без > клавиатуры). Это облегчает обработку компрометации ключей. Поддерживаю. Есть физическое устройство, файлы которого есть вероятность потерять - отдельный ключ. On 16/10/13 11:45, Eugene Berdnikov wrote: > Сильно облегачает? И как часто? :) Не часто, но если случится - лучше чтобы был путь к отступлению :) > Может, я совсем туп, но плохо представляю, как правильно украсть ключ(и), > даже добравшись до клавиатуры с машиной, на которой запущен ssh-agent. > Теоретически вроде так: нужно чем-то память этого агента прочитать, унести > в укромное место, а потом из мешанины байтов выковыривать нужные. > Занятие, прямо скажем, не для слабых духом... да и телом, наверное, тоже. Не из агента. Умыкнуть файл с приватным ключом проще. Ну и потом у себя в укромном уголке его ковырять. On 15/10/13 22:02, Victor Wagner wrote: > При этом могут быть ситуации, когда на некоторых машинах нет публичных > клюей от всех этих ключевых пар. Например, на всякие рабочие сервера я > вряд ли буду копировать ключи со всех домашних и мобильных устройств. > > Проще уж если приспичило поработать из дома, зайти сначала на рабочую > станцию и загрузить её ключ вторым. Мне удобнее было свалить текущие публичные ключи в один файлик, выложить его на http и дальше говорить wget -O - http://example.com/keys >> ~/.ssh/authorized_keys с любой нужной мне машины. Ключей 3 штуки - рабочая машина, домашняя машина, нетбук. Как минимум до одной я всегда смогу добраться. -- Best regards, Mikhail - WWW: http://www.antmix.ru/ XMPP: ant...@stopicq.ru signature.asc Description: OpenPGP digital signature
Re: ssh agent
On Wed, Oct 16, 2013 at 01:04:43PM +0400, Artem Chuprina wrote: > Eugene Berdnikov -> debian-russian@lists.debian.org @ Wed, 16 Oct 2013 > 11:45:11 +0400: > > >> > Я понимаю, что у человека может быть несколько пластиковых карточек. > >> > Но зачем делать себе несколько ключей ssh? > >> > >> Ну я, например, делаю по отдельному ключу для каждого устройства на > >> экран которого я могу глядеть (год назад бы сказал "на клавиатуре > >> которого могу набирать, но теперь у меня есть одно устройство без > >> клавиатуры). Это облегчает обработку компрометации ключей. > > EB> Сильно облегачает? И как часто? :) > > EB> Может, я совсем туп, но плохо представляю, как правильно украсть > ключ(и), > EB> даже добравшись до клавиатуры с машиной, на которой запущен ssh-agent. > EB> Теоретически вроде так: нужно чем-то память этого агента прочитать, > унести > EB> в укромное место, а потом из мешанины байтов выковыривать нужные. > > На самом деле все, скорее всего, гораздо проще. Он хранит ключи ни разу > не в случайном месте памяти. Посидеть один раз с бинарником и > дебаггером, изучить паттерны, по которым искать, и можно написать > робота. Файл: «/usr/bin/ssh-agent» Доступ: (2755/-rwxr-sr-x) Uid: (0/root) Gid: ( 106/ ssh) Конечно не в случайном ;))) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20131016090915.ga19...@nano.ioffe.rssi.ru
Re: ssh agent
Eugene Berdnikov -> debian-russian@lists.debian.org @ Wed, 16 Oct 2013 11:45:11 +0400: >> > Я понимаю, что у человека может быть несколько пластиковых карточек. >> > Но зачем делать себе несколько ключей ssh? >> >> Ну я, например, делаю по отдельному ключу для каждого устройства на >> экран которого я могу глядеть (год назад бы сказал "на клавиатуре >> которого могу набирать, но теперь у меня есть одно устройство без >> клавиатуры). Это облегчает обработку компрометации ключей. EB> Сильно облегачает? И как часто? :) EB> Может, я совсем туп, но плохо представляю, как правильно украсть ключ(и), EB> даже добравшись до клавиатуры с машиной, на которой запущен ssh-agent. EB> Теоретически вроде так: нужно чем-то память этого агента прочитать, унести EB> в укромное место, а потом из мешанины байтов выковыривать нужные. На самом деле все, скорее всего, гораздо проще. Он хранит ключи ни разу не в случайном месте памяти. Посидеть один раз с бинарником и дебаггером, изучить паттерны, по которым искать, и можно написать робота. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87fvs1vb6c@wizzle.ran.pp.ru
Re: ssh agent
On Tue, Oct 15, 2013 at 10:02:53PM +0400, Victor Wagner wrote: > On 2013.10.15 at 21:01:47 +0400, Eugene Berdnikov wrote: > > > > Я понимаю, что у человека может быть несколько пластиковых карточек. > > Но зачем делать себе несколько ключей ssh? > > Ну я, например, делаю по отдельному ключу для каждого устройства на > экран которого я могу глядеть (год назад бы сказал "на клавиатуре > которого могу набирать, но теперь у меня есть одно устройство без > клавиатуры). Это облегчает обработку компрометации ключей. Сильно облегачает? И как часто? :) Может, я совсем туп, но плохо представляю, как правильно украсть ключ(и), даже добравшись до клавиатуры с машиной, на которой запущен ssh-agent. Теоретически вроде так: нужно чем-то память этого агента прочитать, унести в укромное место, а потом из мешанины байтов выковыривать нужные. Занятие, прямо скажем, не для слабых духом... да и телом, наверное, тоже. Вот попользоваться ключами, добравшись до клавиатуры -- это легко. Только ключ-то при этом не компрометируется. Вы должны это понимать. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20131016074511.gu17...@protva.ru
Re: ssh agent auth
16.10.2013 04:38, sergio пишет: > On 15/10/13 20:39, Виталий Мечётный wrote: > >> Генерируем свою пару ключей (если нет) и передаем на целевой хост > > Сил хватило только на тему? > Да. Хватило сил прочитать? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/525e040f.9060...@ruta.ru
Re: ssh agent auth
On 15/10/13 20:39, Виталий Мечётный wrote: > Генерируем свою пару ключей (если нет) и передаем на целевой хост Сил хватило только на тему? -- sergio. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/525dc3f6.5050...@sergio.spb.ru
Re: ssh agent
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 15/10/13 21:53, Andrey Rahmatullin wrote: >> On 15.10.13 2031 (+0400), sergio wrote: >>> Хочется что бы ssh agent запрашивал пароль и расшифровывал ключ >>> после первой попытки сказать ssh с дальнейшим продолжением >>> авторизации. > Ничего подобного ssh-agent сам не делает. /usr/bin/ssh-agent из openssh-client не делает, о том и речь, в отличии от гномового. - -- sergio. -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.15 (GNU/Linux) Comment: Using GnuPG with Icedove - http://www.enigmail.net/ iQIcBAEBAgAGBQJSXcLPAAoJEPMvu7VxEe/BTPoQAIVVDE9rx4knM2fh2YZwg4EH v8iLkS7MFBNpkGoY6iA9dnaee4rm7pH3opNJ/Z1KM3A3jz0LAFWBlPOXYCbnfTu/ t7pJ5LEcRJBZIc3SyRop56aQ9qVUiuWMFMrh3Chuwe3UdIjy3hHcdPz80HbANqAM mBdhJogvFrH/UArAzSnX+T/ASkgcFaSRHvc0w7ASoSYeDguZTdN82YklUtEdcg+O 1ei2s/Wjry5luIsV8RMXnkNyYvs3/jk4EHn7qgY8ycRcmogQ8RbvQjrJ92K0Dp7n +oxn083vQ2zpFeuYG98ZLq0GWzryunqXELy6/7XTRT8uDOVepn8yMHuH0ojLlxct ENdDIjJ5utLaunwTRqTyjHXzBoFnlFxn5ySk/QhtMg9omipdL/IYwEdFPJZps84B jjCWaTU6iGCPn0JFT60ZzdDcNIqcueONJz5Y7yNbDEWxQNjqc/uYpBVoj9cJ/KB0 hbTa73SwisN7tZPbNFF6vYmP3edONcpPgpi343bFeXgwkTz3ElCaCEMxv2H1ign6 92dfR7OvGsqxkp1V6MaMdJN27WC16WrYiKaTPvw1h+qja5N2ekfW75zJHw8BG5yf aylK1wD+AEeZdakfkGcyh94s6SP2fgUaF2qNvMkdGNAgNccIgK6u4Cs4ontIRsci WLuycU23yvy+iv/ga/wv =CHMg -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/525dc2cf.8050...@sergio.spb.ru
Re: ssh agent
On Wed, Oct 16, 2013 at 12:43:24AM +0700, Vasily Ivanov wrote: > On 15.10.13 2336 (+0600), Andrey Rahmatullin wrote: > > On Wed, Oct 16, 2013 at 12:24:54AM +0700, Vasily Ivanov wrote: > > > Определить в .ssh/config для нужного хоста параметр IdentityFile > > > Насколько я понмю, после этого ssh-agent его добавит и прокеширует > > > автоматом. > > И пассфразу сам введёт? > о_О? В исходном вопросе об таком не говорилось: > > On 15.10.13 2031 (+0400), sergio wrote: > > > Хочется что бы ssh agent запрашивал пароль и расшифровывал ключ после > > первой попытки сказать ssh с дальнейшим продолжением авторизации. Ничего подобного ssh-agent сам не делает. -- WBR, wRAR signature.asc Description: Digital signature
Re: ssh agent
On 15.10.13 2336 (+0600), Andrey Rahmatullin wrote: > On Wed, Oct 16, 2013 at 12:24:54AM +0700, Vasily Ivanov wrote: > > Определить в .ssh/config для нужного хоста параметр IdentityFile > > Насколько я понмю, после этого ssh-agent его добавит и прокеширует > > автоматом. > > И пассфразу сам введёт? о_О? В исходном вопросе об таком не говорилось: On 15.10.13 2031 (+0400), sergio wrote: > Хочется что бы ssh agent запрашивал пароль и расшифровывал ключ после > первой попытки сказать ssh с дальнейшим продолжением авторизации. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20131015174324.ga17...@roadwarrior.8p8c.net
Re: ssh agent auth
15.10.2013 23:25, Vasily Ivanov пишет: > On 15.10.13 2239 (+0600), Виталий Мечётный wrote: >> $ scp -P 20120 ~/.ssh/id_rsa.pub if@192.168.1.20: >> >> Сторона целевой системы >> >> # su if >> $ mkdir -p ~/.ssh >> $ cat ~/id_rsa.pub >> ~/.ssh/authorized_keys >> $ rm ~/id_rsa.pub >> $ chmod 700 ~/.ssh && chmod 600 ~/.ssh/authorized_keys >> $ exit > > См. ssh-copy-id > > Посмотрел. Зачекано =) -- Истово бью челом, системный управитель сети, раб Божий, Виталий. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/525d7de8.2080...@ruta.ru
Re: ssh agent
On Wed, Oct 16, 2013 at 12:24:54AM +0700, Vasily Ivanov wrote: > Определить в .ssh/config для нужного хоста параметр IdentityFile > Насколько я понмю, после этого ssh-agent его добавит и прокеширует > автоматом. И пассфразу сам введёт? -- WBR, wRAR signature.asc Description: Digital signature
Re: ssh agent auth
On 15.10.13 2239 (+0600), Виталий Мечётный wrote: > $ scp -P 20120 ~/.ssh/id_rsa.pub if@192.168.1.20: > > Сторона целевой системы > > # su if > $ mkdir -p ~/.ssh > $ cat ~/id_rsa.pub >> ~/.ssh/authorized_keys > $ rm ~/id_rsa.pub > $ chmod 700 ~/.ssh && chmod 600 ~/.ssh/authorized_keys > $ exit См. ssh-copy-id -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20131015172523.gb16...@roadwarrior.8p8c.net
Re: ssh agent
On 15.10.13 2031 (+0400), sergio wrote: > Всем привет. > > Хочется что бы ssh agent запрашивал пароль и расшифровывал ключ после > первой попытки сказать ssh с дальнейшим продолжением авторизации. > > Так умеет gnome-keyring, но ставить по такому поводу gnome (пусть даже > часть) мне не хочется. > > Ещё в этих ваших интернетх предлагается сделать скриптик, который > запускает ssh-add перед ssh если не ключ не загружен. Это всё неимоверно > замечательно, только ключа у меня больше одного, и особой радости > загружать их все сразу я не вижу. Определить в .ssh/config для нужного хоста параметр IdentityFile Насколько я понмю, после этого ssh-agent его добавит и прокеширует автоматом. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20131015172454.ga16...@roadwarrior.8p8c.net
Re: ssh agent
On Tue, Oct 15, 2013 at 08:31:54PM +0400, sergio wrote: > Ещё в этих ваших интернетх предлагается сделать скриптик, который > запускает ssh-add перед ssh если не ключ не загружен. Это всё неимоверно > замечательно, только ключа у меня больше одного, и особой радости > загружать их все сразу я не вижу. Я понимаю, что у человека может быть несколько пластиковых карточек. Но зачем делать себе несколько ключей ssh? -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20131015170147.gf7...@sie.protva.ru
Re: ssh agent auth
15.10.2013 22:32, Иван Лох пишет: > On Tue, Oct 15, 2013 at 08:19:43PM +0400, sergio wrote: >> Всем привет. >> >> Как-то я утомился каждый раз для судо вводить пароль и вот ищу >> что-нибудь на замену. > > visudo > > username ALL = NOPASSWD: command > >> Я слышал про авторизацию по ssh ключам через ssh agent. Тут есть >> кто-нибудь кто её исользует и может что-нибудь рассказать? Почему ничего >> подобного нет в дистрибутеве и какие тонкие моменты есть в такой схеме? > > Поручик, молчать!!! :) > > Генерируем свою пару ключей (если нет) и передаем на целевой хост Сторона админа $ ssh-keygen -b 2048 -t rsa $ scp -P 20120 ~/.ssh/id_rsa.pub if@192.168.1.20: Сторона целевой системы # su if $ mkdir -p ~/.ssh $ cat ~/id_rsa.pub >> ~/.ssh/authorized_keys $ rm ~/id_rsa.pub $ chmod 700 ~/.ssh && chmod 600 ~/.ssh/authorized_keys $ exit Конфигурация sshd - Port 20120 Protocol 2 HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key UsePrivilegeSeparation yes KeyRegenerationInterval 3600 ServerKeyBits 768 SyslogFacility AUTH LogLevel INFO LoginGraceTime 120 PermitRootLogin no StrictModes yes RSAAuthentication yes PubkeyAuthentication yes IgnoreRhosts yes RhostsRSAAuthentication no HostbasedAuthentication no PermitEmptyPasswords no PasswordAuthentication no ChallengeResponseAuthentication no X11Forwarding no X11DisplayOffset 10 PrintMotd no PrintLastLog yes TCPKeepAlive yes AcceptEnv LANG LC_* AllowUsers if Subsystem sftp /usr/lib/openssh/sftp-server UsePAM yes -- # /etc/init.d/ssh restart Проверка с компа админа # ssh -o 'PreferredAuthentications if' -p 20120 192.168.1.20 Permission denied (publickey). # su if # ssh if@192.168.1.20 -p 20120 loged to target system В скобках разрешённые методы соединения -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/525d6fd6.9060...@ruta.ru
Re: ssh agent auth
On Tue, Oct 15, 2013 at 08:19:43PM +0400, sergio wrote: > Всем привет. > > Как-то я утомился каждый раз для судо вводить пароль и вот ищу > что-нибудь на замену. visudo username ALL = NOPASSWD: command > Я слышал про авторизацию по ssh ключам через ssh agent. Тут есть > кто-нибудь кто её исользует и может что-нибудь рассказать? Почему ничего > подобного нет в дистрибутеве и какие тонкие моменты есть в такой схеме? Поручик, молчать!!! :) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20131015163257.gc3...@nano.ioffe.rssi.ru
