ssh-agent: tüm anahtarlık için kimlik doğrulamasını iletme

10

İki özel ssh anahtarım var:

  • biri benim kişisel makinelerime erişmek için ,
  • Benim de erişim sunucularına bir .

Bu iki anahtarı ssh-agent'uma ekliyorum ssh-add.

Şimdi, yaptığımda ssh -A root@jobsrvajan kimlik doğrulamasını yalnızca iş anahtarım (bağlamak için kullandığım jobsrv) için iletmek istiyorum .

Bunu istiyorum, çünkü root erişimi olan herkes jobsrvaracılarımı kişisel makinelerime doğrulamak için ajanımı kullanabilir.

Bu izolasyonu başarmanın bir yolu var mı?

ssh  security  ssh-agent 
totor
kaynak
ssh'ın man sayfasındaki -i seçeneğini kontrol ettin mi?
bir insan
1
@Stillakid evet, ssh -A -i myjobkey_rsa root@jobsrvjobsrv makinesinin yerel makine acenteme erişmesine ve personel sunucumda diğer (kişisel) anahtarla kimlik doğrulamasına izin veriyor ...
Totor
ayrıca ssh-keysign kontrol?
bir insan

Yanıtlar:

2

ssh(1)Belirli bir anahtarı ssh-agent(1)birden fazla anahtar teklif etse bile kullanmaya zorlamak için , IdentityFileve IdentitiesOnlyyönergesini aşağıdaki gibi kullanın ~/.ssh/config:

Host example.com
    IdentityFile ~/.ssh/keys/special.pem
    IdentitiesOnly yes

Ayrıntılar ssh_config(5)için bakınız.

mjhennig
kaynak
Bu işe yaramıyor . IdentitiesOnlyuzak sunucuya bağlanmaya çalıştığınızda uygulanır. Bağlandıktan sonra, -Aaracı yönlendirmesi etkinleştirilirse, tüm anahtarlık yönlendirilir.
Totor
Anahtarlık iletilmez. Bu iletilir yetkilendirme isteği içinde .
Bahama
@bahamat Elbette, hatam. Yine de, bu çözüm işe yaramıyor.
Totor
2

Ne yazık ki, şu anda bunu kolayca elde etmenin mümkün olmadığına inanıyorum . Biri iki aracı (her anahtar için bir tane) kullanabilir, böylece her anahtarı tutan aracı olmaz. Ama bu, çalışmak için oldukça hantal olurdu.

Bu nedenle bir hata raporu (geliştirme) açıldı. Orada bu benzer raporu da.

totor
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.