Mac OS X Keychain SSH tuşları ile nasıl kullanılır?

Mac OS X Leopard'dan bu yana, Anahtarlığın SSH anahtarlarını depolamayı desteklediğini biliyorum. Birisi lütfen bu özelliğin nasıl çalışması gerektiğini açıklayabilir mi?

Çeşitli sunuculara erişmek için ~ / .ssh dizininde sakladığım bazı RSA anahtarlarım var. Bu tuşlara ayarlanmış parolalarım yok. Şu anda bu sunuculara giriş yapmak için Terminal'de aşağıdaki komutları kullanıyorum:

eval `ssh-agent`
ssh-add ~ / .ssh / some_key_rsa
ssh kullanıcısı @ sunucusu

(Bunu kolaylaştırmak için bazı Bash fonksiyonları yazdım.)

Bunu Anahtarlık kullanarak yapmanın daha iyi bir yolu var mı?

Çalışması için $SSH_AUTH_SOCKçevre değişkenine dikkat edilmelidir /tmp/launch-xxxxxx/Listeners. Bu oturum açtığınızda otomatik olarak yapılması gerekiyordu. O soketteki dinleyici ssh-agent protokolünü konuşuyor.

Bash komut dosyalarınız kendi ssh ssh-agentajanınızı başlatıyor ( yazılmıyor, ssh_agent değil) ve ssh-agentoturum açma sırasında sizin için ayarlanmış olanı geçersiz kılıyor .

Ayrıca, anahtarlığın tüm amacı, şifreleri ssh anahtarlarınıza depolamaktır, ancak bu anahtarlara ayarlanmış parolalarınız olmadığını söylersiniz, bu yüzden anahtarlık entegrasyonundan ne beklediğinizden emin değilim.

Son olarak, ilk giriş yaptığınızda, muhtemelen bir ssh-agent işlemini görmeyeceksiniz. Bir şey ilk kez o soketi okumaya çalıştığında, bu işlem hizmetleri başlatmakla otomatik olarak başlayacaktır /tmp.

OS X'in Leopard sürümünden itibaren ssh-agent, Keychain ile daha sıkı bir şekilde bütünleşiyor. Tüm SSH anahtarlarınızın şifrelerini güvenli bir şekilde ssh-agent'ın başlangıçta okuyacağı Keychain'de saklamak mümkündür. Sonuç olarak, anahtarlarınızı parolalarla sabitlemenin basit olması, ancak bunları kullanmak için asla parola yazmamanız gerekmesidir! İşte nasıl:

Her ssh anahtarına pass cümlesini anahtarlığa ekleyin: (seçenek -k sadece düz özel anahtarlar yükler, sertifikaları atlar)

ssh-add -K [path/to/private SSH key]

(bunun büyük bir K olduğuna dikkat edin)

Mac'inizi her yeniden başlattığınızda, anahtarlığınızdaki tüm SSH anahtarları otomatik olarak yüklenir. Anahtar Zinciri Erişimi uygulamasında ve ayrıca komut satırından tuşları görebilmeniz gerekir:

ssh-add -l

İtibariyle MacOS Sierra , ssh-agent hesabınıza giriş yaptığınızda daha önce ssh anahtarları yüklü artık otomatik yükler. Bu Apple tarafından kasıtlı, ana akım OpenSSH uygulaması ile yeniden uyum sağlamak istediler . [1]

Açıklandığı gibi burada , bu yana önerilen yöntemdir MacOS 10.12.2 :

1. Aşağıdaki satırları ~/.ssh/configdosyanıza ekleyin :

   Host *
       UseKeychain yes
       AddKeysToAgent yes
   

2. Komutu kullanarak ssh-agent'a eklediğiniz herhangi bir anahtar ssh-add /path/to/your/private/key/id_rsa, anahtarlığa otomatik olarak eklenecek ve yeniden başlatıldığında otomatik olarak yüklenmelidir.

Aşağıdakiler kullanımdan kaldırılmıştır (referans için saklanmıştır).

Önceki davranışa geri dönmek için, ssh-add -Aoturum açtığınızda komutu çalıştırmak (anahtarlığınızda parolaları olan tüm ssh anahtarlarını otomatik olarak yükleyen) komutunu çalıştırmak istersiniz . Bunu yapmak için şu adımları izleyin:

1. Öncelikle, komutu kullanarak ssh-agent'a otomatik olarak yüklemek istediğiniz tüm tuşları ekleyin ssh-add -K /absolute/path/to/your/private/key/id_rsa. -KArgüman anahtar geçiş ifade eklenir sağlar MacOS en anahtarlığa . Anahtarın mutlak yolunu kullandığınızdan emin olun. Göreceli bir yol kullanmak, otomatik olarak başlatılan komut dosyasını anahtarınızı bulamaz.

2. Yazarken tüm tuşlarınızın eklendiğinden emin olun ssh-add -A.

3. Adlı bir dosya oluşturun com.yourusername.ssh-add.plistiçinde ~/Library/LaunchAgents/aşağıda içeriği ile. Bunun gibi Plist dosyaları , launchdoturum açtığınızda komut dosyalarını çalıştırmak için kullanılır . [2] [3]

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
   <dict>
   <key>Label</key>
     <string>com.user.loginscript</string>
   <key>ProgramArguments</key>
     <array>
       <string>ssh-add</string>
       <string>-A</string>
     </array>
   <key>RunAtLoad</key>
     <true/>
   </dict>
   </plist>
   

4. Tell launchdyüklemek için Plist dosyasını sadece yürüterek oluşturuldu: launchctl load ~/Library/LaunchAgents/com.yourusername.ssh-add.plist.

Ve hepiniz hazır olmalısınız.

10.12 Sierra çalıştıran Mac'inizin oturumları / yeniden başlatmaları arasında şifrenizi devam ettirmek için Ricardo'nun yanıtından daha basit bir yol var .

1. ssh-add -K ~/.ssh/id_rsa
   Not: id_rsa anahtarınızın bulunduğu yolu değiştirin.
2. ssh-add -A

3. Aşağıdaki ~/.ssh/configdosyayı oluşturun (veya varsa düzenleyin) :

   Host *
     UseKeychain yes
     AddKeysToAgent yes
     IdentityFile ~/.ssh/id_rsa
   

   Şimdi şifre yeniden başlatmalar arasında hatırlanıyor!

Apple, macOS 10.12 Sierra'daki ssh-agent davranışını, önceki OpenSadar anahtarlarını, Apple'ın OpenRadar , Twitter tartışmasında ve Teknik Notunda belirtildiği gibi otomatik olarak yüklemeyecek şekilde değiştirdi . Yukarıdaki çözüm, El Capitan'ın eski davranışlarını taklit edecek ve şifrenizi hatırlayacaktır.

Not: macOS Sierra için lütfen ChrisJF tarafından verilen en son cevaba bakınız .

[Jeff McCarrell'ın cevabı] [2] doğrudur, ancak geçiş cümlesi ekleme komutunun kısa çizgi yerine bir kısa çizgi, yani –Kbunun yerine -Ketkisinin bir mesajına neden olan bir tire işareti vardır –K: No such file or directory. Okumalı:

ssh-add -K [path/to/private SSH key]

Varsayılan sshkomutu kullanmadığınızdan şüpheleniyorum . Eğer var mı sshlimanlar üzerinden yüklü? which sshHangi sshkomutu kullandığınızı görmeye çalışın .

Genellikle, anahtarlıkta önceden kayıtlı değilse, parolanızı isteyen bir iletişim kutusu görüntülemelidir.

Ben bir istemci ssh cert kullanarak giriş yapmaya çalışırken benzer bir sorun vardı. Bu özel durumda bir git deposuna erişmek içindi. Durum buydu:

• Anahtar kaydedildi ~/.ssh/
• Özel anahtarın bir parolası vardır.
• Şifre OS X giriş anahtarlığında saklanır. ~/Library/Keychains/login.keychain
• Bağlantı aşağıdaki gibiydi: mac ->uzak mac ->git / ssh sunucum
• Mac OS X 10.8.5

Uzak masaüstünü kullanarak uzak mac'a bağlandığımda bir sorun yaşamadım. Ancak SSH ile uzak mac'a bağlanırken, her seferinde ssh şifresini sordum. Aşağıdaki adımlar benim için çözdü.

3. security unlock-keychainParola giriş anahtarlığında saklanır. Bu, kilidini açar ve ssh-agent'ın ona erişmesini sağlar.
4. eval `ssh-agent -s`Shell kullanımı için ssh-agent'ı başlatır. Anahtar kelimeden parolayı alacak ve özel ssh anahtarının kilidini açmak için kullanacaktır.
5. Ssh / git bağlantısını kur ve işimi yap.
6. eval `ssh-agent -k` Çalışan ssh-ajanı öldür.
7. security lock-keychain Anahtarlık tekrar kilitlensin.

Ayrıca bakınız:

security import priv_key.p12 -k ~/Library/Keychains/login.keychain
security import pub_key.pem -k ~/Library/Keychains/login.keychain

... bu notu daha fazla ayrıntı istendiği gibi eklemek: "güvenlik" komutu, anahtarları (ve diğer şeyleri) doğrudan Anahtarlıklar'a aktarabilir. Güzel olan şudur ki, ssh-add'un aksine, anahtarlığı belirleyebilmelisiniz. Bu, doğrudan Keychain sistemine (nasıl yapıldığını öğrenmek için "insan güvenliği") ithal etmeyi mümkün kılar.

En iyi ve Apple'ın amaçladığı çözüm (macOS 10.12.2'den beri) burada açıklanmaktadır .

Yani sadece aşağıdakileri yapın:

echo "UseKeychain evet" >> ~ / .ssh / config