ssh-agent: Authentifizierung nicht für den gesamten Schlüsselbund weiterleiten

10

Ich habe zwei private SSH-Schlüssel:

  • eine, um auf meine persönlichen Maschinen zuzugreifen ,
  • eine, um bei meinem Job auf Server zuzugreifen .

Ich füge diese beiden Schlüssel meinem SSH-Agenten mit hinzu ssh-add.

Wenn ich dies tue, ssh -A root@jobsrvmöchte ich die Agentenauthentifizierung nur für meinen Jobschlüssel weiterleiten (den, mit dem ich eine Verbindung herstelle jobsrv).

Ich möchte dies, weil jeder, der Root-Zugriff hat, jobsrvmeinen Agenten verwenden kann, um sich bei meinen persönlichen Computern zu authentifizieren.

Gibt es eine Möglichkeit, diese Isolation zu erreichen?

ssh  security  ssh-agent 
Totor
quelle
Haben Sie die Option -i in der Manpage von ssh aktiviert?
Ein Mensch
1
@Stillakid ja, ssh -A -i myjobkey_rsa root@jobsrverlaubt dem jobsrv-Computer weiterhin, auf meinen lokalen Computeragenten zuzugreifen und sich auf meinem persönlichen Server mit dem anderen (persönlichen) Schlüssel zu authentifizieren ...
Totor
auch ssh-keysign überprüft?
Ein Mensch

Antworten:

2

Um die ssh(1)Verwendung eines bestimmten Schlüssels zu erzwingen , auch wenn ssh-agent(1)mehrere angeboten werden, verwenden Sie die Direktive IdentityFileund IdentitiesOnlyin ~/.ssh/config, z.

Host example.com
    IdentityFile ~/.ssh/keys/special.pem
    IdentitiesOnly yes

Siehe ssh_config(5)für Details.

mjhennig
quelle
Das funktioniert nicht . IdentitiesOnlyDies gilt, wenn Sie versuchen, eine Verbindung zum Remote-Server herzustellen. Sobald Sie verbunden sind und die -AAgentenweiterleitung aktiviert ist, wird der gesamte Schlüsselbund weitergeleitet.
Totor
Der Schlüsselring wird nicht weitergeleitet. Es ist die Auth - Anforderung , die weitergeleitet wird in .
Bahamat
@ Bahamat Sicher, mein Fehler. Diese Lösung funktioniert jedoch nicht.
Totor
2

Leider glaube ich es nicht möglich ist , dies achive leicht im gegenwärtigen Augenblick . Man könnte zwei Agenten verwenden (einen für jeden Schlüssel), so dass kein Agent alle Schlüssel hält. Aber es wäre ziemlich umständlich, damit zu arbeiten.

Aus diesem Grund wurde ein Fehlerbericht (Erweiterung) geöffnet. Es gibt auch diesen ähnlichen Bericht .

Totor
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.