вопрос по ssh-agent

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модератор: SLEDopit

Аватара пользователя
lynxx
Сообщения: 86
ОС: FreeBSD, Gentoo

вопрос по ssh-agent

Сообщение lynxx »

Доброго дня! Есть впн-туннель по ssh. аутентификация по ключам. все проходит нормально, настроил ssh-agent, чтобы не вводить парольную фразу, хотел запихнуть маршрут и собственно команду для установления связи с удаленным сервером в автозапуск, но, я так понял, этот ssh-agent работает только для текущего сеанса, т.е. для данной консоли. Вопрос в том, как мне сделать так, чтобы при рестарте компьютера "поднимался" туннель автоматически?
Спасибо сказали:

pelmen
Сообщения: 1268
ОС: debian

Re: вопрос по ssh-agent

Сообщение pelmen »

у меня все работает без использования ssh-agent (даже не знаю, зачем он нужен, надо будет посмотреть).
аутентификация по беспарольному ключу.
rc.local? хотя я запихнул в крон
Спасибо сказали:

Аватара пользователя
drBatty
Сообщения: 8735
Статус: GPG ID: 4DFBD1D6 дом горит, козёл не видит...
ОС: Slackware-current

Re: вопрос по ssh-agent

Сообщение drBatty »

pelmen писал(а):
17.02.2010 16:38
у меня все работает без использования ssh-agent (даже не знаю, зачем он нужен, надо будет посмотреть).
аутентификация по беспарольному ключу.

агент нужен для запоминания пароля.
http://emulek.blogspot.ru/ Windows Must Die
Учебник по sed зеркало в github

Скоро придёт
Осень
Спасибо сказали:

Аватара пользователя
lynxx
Сообщения: 86
ОС: FreeBSD, Gentoo

Re: вопрос по ssh-agent

Сообщение lynxx »

pelmen писал(а):
17.02.2010 16:38
аутентификация по беспарольному ключу.


так вроде какбэ несекьюрно. хотелось бы оставить как есть, т.е. с парольной фразой
Спасибо сказали:

Аватара пользователя
drBatty
Сообщения: 8735
Статус: GPG ID: 4DFBD1D6 дом горит, козёл не видит...
ОС: Slackware-current

Re: вопрос по ssh-agent

Сообщение drBatty »

lynxx писал(а):
17.02.2010 16:45
так вроде какбэ несекьюрно. хотелось бы оставить как есть, т.е. с парольной фразой

почему? ИМХО вполне достаточно (если гарантировать защиту секретного ключа(файла с ним))
http://emulek.blogspot.ru/ Windows Must Die
Учебник по sed зеркало в github

Скоро придёт
Осень
Спасибо сказали:

Аватара пользователя
KiWi
Бывший модератор
Сообщения: 2521
Статус: статус, статус, статус

Re: вопрос по ssh-agent

Сообщение KiWi »

lynxx писал(а):
17.02.2010 16:45
pelmen писал(а):
17.02.2010 16:38
аутентификация по беспарольному ключу.


так вроде какбэ несекьюрно. хотелось бы оставить как есть, т.е. с парольной фразой

Запоминание всех паролей для всех консолей -- тоже не самый секьюрный вариант.
Спасибо сказали:

Аватара пользователя
lynxx
Сообщения: 86
ОС: FreeBSD, Gentoo

Re: вопрос по ssh-agent

Сообщение lynxx »

drBatty писал(а):
17.02.2010 16:50
почему? ИМХО вполне достаточно

попробую еще почитать на эту тему, если что найду - поделюсь информацией
(если гарантировать защиту секретного ключа(файла с ним))

защита сводится только к ограничению доступа на ключ или есть еще какие-то подводные камни?
Спасибо сказали:

pelmen
Сообщения: 1268
ОС: debian

Re: вопрос по ssh-agent

Сообщение pelmen »

еще физический доступ к ПЗУ, на котором ключ
Спасибо сказали:

Аватара пользователя
lynxx
Сообщения: 86
ОС: FreeBSD, Gentoo

Re: вопрос по ssh-agent

Сообщение lynxx »

Ладно, раз более идей нет, сделал парольную фразу пустой. всем спасибо!
Спасибо сказали:

Аватара пользователя
drBatty
Сообщения: 8735
Статус: GPG ID: 4DFBD1D6 дом горит, козёл не видит...
ОС: Slackware-current

Re: вопрос по ssh-agent

Сообщение drBatty »

lynxx писал(а):
17.02.2010 17:03
защита сводится только к ограничению доступа на ключ или есть еще какие-то подводные камни?

насколько я знаю, если нет доступа на чтение и модификацию секретного ключа, то и получить доступ по SSH невозможно.

PS: хотя в дебиана, убунте и пр. нашли уязвимость, которая позволяет подобрать ключ из 64000 или 256К вариантов (по разным источникам), это довольно мало, и наверное можно подобрать за день...месяц машинного времени... Но я сам точно не знаю, у меня не убунта.
http://emulek.blogspot.ru/ Windows Must Die
Учебник по sed зеркало в github

Скоро придёт
Осень
Спасибо сказали:

Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU

Re: вопрос по ssh-agent

Сообщение sash-kan »

("man ssh-agent") писал(а):The idea is that ssh-agent is started in the beginning of
an X-session or a login session, and all other windows or programs are started as clients to the ssh-agent program.

скорее всего у вас он уже запущен. см. вывод ps ax | grep ssh-agent. у меня, например:

Shell

$ ps ax | grep ssh-agent 4943 ? Ss 0:00 /usr/bin/ssh-agent /usr/bin/dbus-launch --exit-with-session x-session-manager
т.е. запущен агент поверх dbus-launch, который, в свою очередь, запускает используемый мною x-session-manager (у меня это icewm-session).
поверх всего агент запускается для того, чтобы передать всем потомкам переменную окружения с адресом сокета, через который агент и коммуницирует со всякими ssh*-программами:

Shell

$ env | grep SSH_AUTH SSH_AUTH_SOCK=/tmp/ssh-XuDwYF4914/agent.4914

ключи _текущему_ экземпляру агента можно добавить командой
$ ssh-add [<файл с ключом, например, ~/.ssh/id_rsa>]
если ключ защищён пассфразой, ssh-add её запросит.
чтобы агент забыл обо всех ключах, нужно сказать:
$ ssh-add -D
о конкретном ключе:
$ ssh-add -d <файл с ключом>

по поводу security:
1. как написано в man ssh-agent, ключи напрямую ssh-клиентам агент не передаёт. т.е., как я понимаю, «разговаривает» с sshd сам агент.
2. идея агента состоит в том, чтобы rsa/dsa-ключи были защищены пассфразой (кстати, добавить/изменить пассфразу к существующему ключу можно командой ssh-keygen -p [-f <файл с ключом>]) и вам не нужно было вводить пассфразу при каждом вызове ssh. а если даже злоумышленник завладеет файлом с ключом, пассфразу ему придётся подбирать долгими зимними вечерами.
3. да, root может добраться до сокета (файл читабелен только для вас, но для root-а это не проблема) и «прикинуться своим»:

Shell

# export SSH_AUTH_SOCK=/tmp/ssh-XuDwYF4914/agent.4914 # ssh al@linuxforum.ru ??? profit
на то он и root.
4. у ssh-agent (и у ssh-add) есть ключик -t <секунды или time-format, описанный в sshd_config(5)>. задаёт максимальное «время жизни» ключа, добавленного агенту.

отсюда вывод — варианты использования ключей по мере возрастания секурности:
1. ключ без пассфразы
2. ключ с пассфразой, добавленный в ssh-agent
3. ключ с пассфразой
выбирать нужный баланс между степенями удобства и безопасности придётся вам самим.
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали:

Аватара пользователя
drBatty
Сообщения: 8735
Статус: GPG ID: 4DFBD1D6 дом горит, козёл не видит...
ОС: Slackware-current

Re: вопрос по ssh-agent

Сообщение drBatty »

sash-kan писал(а):
17.02.2010 18:42
отсюда вывод —

в рамочку, и повесить на видном месте.
спасибо.
http://emulek.blogspot.ru/ Windows Must Die
Учебник по sed зеркало в github

Скоро придёт
Осень
Спасибо сказали:

Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU

Re: вопрос по ssh-agent

Сообщение sash-kan »

drBatty писал(а):
17.02.2010 18:21
хотя в дебиана, убунте и пр. нашли уязвимость, которая позволяет подобрать ключ из 64000 или 256К вариантов (по разным источникам)
не нашёл источников новости. не подскажете?
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали:

Аватара пользователя
drBatty
Сообщения: 8735
Статус: GPG ID: 4DFBD1D6 дом горит, козёл не видит...
ОС: Slackware-current

Re: вопрос по ssh-agent

Сообщение drBatty »

sash-kan писал(а):
17.02.2010 18:50
не нашёл источников новости. не подскажете?

к сожалению, у меня только слухи и домыслы. Информация непроверенная. (к ещё большему сожалению, я не смог найти так-же и опровержения). буду вам благодарен, если вы наконец объясните, что-же там произошло с этой энтропией...
http://emulek.blogspot.ru/ Windows Must Die
Учебник по sed зеркало в github

Скоро придёт
Осень
Спасибо сказали:

Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU

Re: вопрос по ssh-agent

Сообщение sash-kan »

может быть речь про openssl? так это уж давно было. и, естественно, давно и закрыто.
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали:

Аватара пользователя
drBatty
Сообщения: 8735
Статус: GPG ID: 4DFBD1D6 дом горит, козёл не видит...
ОС: Slackware-current

Re: вопрос по ssh-agent

Сообщение drBatty »

sash-kan писал(а):
17.02.2010 20:27
может быть речь про openssl? так это уж давно было. и, естественно, давно и закрыто.

ладно. честно скажу - не в курсе. ну значит - нету ничего.
http://emulek.blogspot.ru/ Windows Must Die
Учебник по sed зеркало в github

Скоро придёт
Осень
Спасибо сказали: