Forums Neueste Beiträge
 

SSH ohne Passwort

04/04/2011 - 15:54 von Marco | Report spam
Ich habe einen SSH key mit Passphrase eingerichtet und
möchte nun nicht immer die Passphrase eingeben,
insbesondere, wenn Scripte über SSH kommunizieren. Ich
kann mit ssh-add meinen key hinzufügen, möchte dies
allerdings nicht nach jedem Login tun.

Etwas gegoogle führte Begriffe wie ssh-agent, PAM,
gnome-keyring-daemon und seahorse zu Tage, die zu diesem
Thema passen könnten, womit ich mich aber noch nie
beschàftigt habe und mich demnach nicht auskenne. Zu
meinem System:

Linux Mint 10 (basiert auf Ubuntu 10.10) mit Gnome.
ssh-agent làuft, gnome-keyring-daemon làuft.

Vielleicht kann mir netterweise jemand auf die Sprünge
helfen, wie ich am sinnvollsten einrichten kann, daß ich
lediglich einmal ein Paßwort beim gdm Login angebe und
danach nicht mehr wieder.

Ich habe es durch einen Eintrag in /etc/pam.d/gdm
geschafft, daß nach dem Paßwort die Passphrase abgefragt
wird (beide sind gleich), das finde ich aber auch
umstàndlich.


Marco
 

Lesen sie die antworten

#1 Wolfgang Meiners
04/04/2011 - 16:40 | Warnen spam
ssh mit PubKeyAuthentication ist sicher schon mal gut, ssh-agent auch.
Ich denke, dass man mindestens einmal nach dem booten seinen Schlüssel
freigeben sollte, aber klar ist, je seltener du das tust, um so
unsicherer ist dein System.

Vor Jahren habe ich das mal so gemacht, dass ich ssh-agent im
Hintergrund gestartet habe und mittels Option -a an eine mir bekannte
Adresse unter ${HOME}/tmp/ssh gebunden habe und dort auch den Inhalt von
SSH_AGENT_PID in eine Datei geschrieben habe. Dieses Verzeichnis darf
natürlich nur der Besitzer lesen und schreiben können.

In meiner .profile habe ich dann getestet, ob der zugehörige Prozess
noch existiert und wenn ja, die beiden Variablen
SSH_AGENT_PID
SSH_AUTH_SOCK
passend gesetzt, sonst habe ich den ssh-agenten einfach neu gestartet.

Das funktionierte ganz gut. Ich bin mir nicht ganz sicher, ob der
Prozess auch noch überlebt hat, nachdem ich mich abgemeldet habe. Das
ist zu lange her. (Eventuell kann man da mit NOHUP was machen?)

Das Verzeichnis, in dem du den SSH_AUTH_SOCK setzt, darf natürlich nur
von dir lesbar sein. Denn jeder, der diesen kennt, kann deine Keys nutzen.

Ich habe mir das ganze damals nicht selbst ausgedacht, sondern im
Internet Tipps und Tricks gefunden, mit denen das ging. Leider finde ich
meine alte .profile nicht mehr, das ist mindestens 3 oder 4 Jahre her.

Grüße
Wolfgang

Ähnliche fragen