вопрос по ssh-agent

[lynxx]

Доброго дня! Есть впн-туннель по ssh. аутентификация по ключам. все проходит нормально, настроил ssh-agent, чтобы не вводить парольную фразу, хотел запихнуть маршрут и собственно команду для установления связи с удаленным сервером в автозапуск, но, я так понял, этот ssh-agent работает только для текущего сеанса, т.е. для данной консоли. Вопрос в том, как мне сделать так, чтобы при рестарте компьютера "поднимался" туннель автоматически?

[pelmen]

у меня все работает без использования ssh-agent (даже не знаю, зачем он нужен, надо будет посмотреть).
аутентификация по беспарольному ключу.
rc.local? хотя я запихнул в крон

[drBatty]

у меня все работает без использования ssh-agent (даже не знаю, зачем он нужен, надо будет посмотреть).
аутентификация по беспарольному ключу.

агент нужен для запоминания пароля.

[lynxx]

аутентификация по беспарольному ключу.

так вроде какбэ несекьюрно. хотелось бы оставить как есть, т.е. с парольной фразой

[drBatty]

так вроде какбэ несекьюрно. хотелось бы оставить как есть, т.е. с парольной фразой

почему? ИМХО вполне достаточно (если гарантировать защиту секретного ключа(файла с ним))

[KiWi]

аутентификация по беспарольному ключу.

так вроде какбэ несекьюрно. хотелось бы оставить как есть, т.е. с парольной фразой

Запоминание всех паролей для всех консолей -- тоже не самый секьюрный вариант.

[lynxx]

почему? ИМХО вполне достаточно

попробую еще почитать на эту тему, если что найду - поделюсь информацией

(если гарантировать защиту секретного ключа(файла с ним))

защита сводится только к ограничению доступа на ключ или есть еще какие-то подводные камни?

[pelmen]

еще физический доступ к ПЗУ, на котором ключ

[lynxx]

Ладно, раз более идей нет, сделал парольную фразу пустой. всем спасибо!

[drBatty]

защита сводится только к ограничению доступа на ключ или есть еще какие-то подводные камни?

насколько я знаю, если нет доступа на чтение и модификацию секретного ключа, то и получить доступ по SSH невозможно.

PS: хотя в дебиана, убунте и пр. нашли уязвимость, которая позволяет подобрать ключ из 64000 или 256К вариантов (по разным источникам), это довольно мало, и наверное можно подобрать за день...месяц машинного времени... Но я сам точно не знаю, у меня не убунта.

[sash-kan]

The idea is that ssh-agent is started in the beginning of
an X-session or a login session, and all other windows or programs are started as clients to the ssh-agent program.

скорее всего у вас он уже запущен. см. вывод ps ax | grep ssh-agent. у меня, например:

Shell

$ ps ax | grep ssh-agent 4943 ? Ss 0:00 /usr/bin/ssh-agent /usr/bin/dbus-launch --exit-with-session x-session-manager

т.е. запущен агент поверх dbus-launch, который, в свою очередь, запускает используемый мною x-session-manager (у меня это icewm-session).
поверх всего агент запускается для того, чтобы передать всем потомкам переменную окружения с адресом сокета, через который агент и коммуницирует со всякими ssh*-программами:

Shell

$ env | grep SSH_AUTH SSH_AUTH_SOCK=/tmp/ssh-XuDwYF4914/agent.4914

ключи _текущему_ экземпляру агента можно добавить командой
$ ssh-add [<файл с ключом, например, ~/.ssh/id_rsa>]
если ключ защищён пассфразой, ssh-add её запросит.
чтобы агент забыл обо всех ключах, нужно сказать:
$ ssh-add -D
о конкретном ключе:
$ ssh-add -d <файл с ключом>

по поводу security:
1. как написано в man ssh-agent, ключи напрямую ssh-клиентам агент не передаёт. т.е., как я понимаю, «разговаривает» с sshd сам агент.
2. идея агента состоит в том, чтобы rsa/dsa-ключи были защищены пассфразой (кстати, добавить/изменить пассфразу к существующему ключу можно командой ssh-keygen -p [-f <файл с ключом>]) и вам не нужно было вводить пассфразу при каждом вызове ssh. а если даже злоумышленник завладеет файлом с ключом, пассфразу ему придётся подбирать долгими зимними вечерами.
3. да, root может добраться до сокета (файл читабелен только для вас, но для root-а это не проблема) и «прикинуться своим»:

Shell

# export SSH_AUTH_SOCK=/tmp/ssh-XuDwYF4914/agent.4914 # ssh al@linuxforum.ru ??? profit

на то он и root.
4. у ssh-agent (и у ssh-add) есть ключик -t <секунды или time-format, описанный в sshd_config(5)>. задаёт максимальное «время жизни» ключа, добавленного агенту.

отсюда вывод — варианты использования ключей по мере возрастания секурности:
1. ключ без пассфразы
2. ключ с пассфразой, добавленный в ssh-agent
3. ключ с пассфразой
выбирать нужный баланс между степенями удобства и безопасности придётся вам самим.

[drBatty]

отсюда вывод —

в рамочку, и повесить на видном месте.
спасибо.

[sash-kan]

хотя в дебиана, убунте и пр. нашли уязвимость, которая позволяет подобрать ключ из 64000 или 256К вариантов (по разным источникам)

не нашёл источников новости. не подскажете?

[drBatty]

не нашёл источников новости. не подскажете?

к сожалению, у меня только слухи и домыслы. Информация непроверенная. (к ещё большему сожалению, я не смог найти так-же и опровержения). буду вам благодарен, если вы наконец объясните, что-же там произошло с этой энтропией...

[sash-kan]

может быть речь про openssl? так это уж давно было. и, естественно, давно и закрыто.

[drBatty]

может быть речь про openssl? так это уж давно было. и, естественно, давно и закрыто.

ладно. честно скажу - не в курсе. ну значит - нету ничего.