ssh-agent: ne transfère pas l'authentification pour l'ensemble du trousseau de clés

10

J'ai deux clés ssh privées:

  • un pour accéder à mes machines personnelles ,
  • un pour accéder aux serveurs à mon travail .

J'ajoute ces deux clés à mon agent ssh avec ssh-add.

Maintenant, lorsque je le fais, ssh -A root@jobsrvje souhaite transférer l'authentification de l'agent uniquement pour ma clé de travail (celle que j'utilise pour me connecter jobsrv).

Je le veux parce que toute personne ayant un accès root jobsrvpeut utiliser mon agent pour s'authentifier auprès de mes machines personnelles.

Existe-t-il un moyen de réaliser cet isolement?

ssh  security  ssh-agent 
Totor
source
avez-vous vérifié l'option -i dans la page de manuel de ssh?
Un être humain
1
@Stillakid oui, ssh -A -i myjobkey_rsa root@jobsrvpermet toujours à la machine jobsrv d'accéder à mon agent machine local et de s'authentifier sur mon serveur personnel avec l'autre clé (personnelle) ...
Totor
également vérifié ssh-keysign?
Un être humain

Réponses:

2

Pour forcer ssh(1)à utiliser une clé particulière même si elle en ssh-agent(1)propose plusieurs, utilisez la directive IdentityFileet IdentitiesOnlydans ~/.ssh/config, par exemple:

Host example.com
    IdentityFile ~/.ssh/keys/special.pem
    IdentitiesOnly yes

Voir ssh_config(5)pour plus de détails.

mjhennig
source
Cela ne marche pas . IdentitiesOnlys'applique lorsque vous essayez de vous connecter au serveur distant. Une fois que vous êtes connecté, si le -Atransfert d'agent est activé, tout le trousseau de clés est transféré.
Totor
Le trousseau de clés n'est pas transmis. Il est la demande auth qui est transmis dans .
bahamat
@bahamat Bien sûr, mon erreur. Pourtant, cette solution ne fonctionne pas.
Totor
2

Malheureusement, je pense qu'il n'est pas possible d'y parvenir facilement pour le moment . On pourrait utiliser deux agents (un pour chaque clé) afin qu'il n'y ait aucun agent détenant toutes les clés. Mais ce serait assez lourd à travailler.

C'est pourquoi un rapport de bogue (amélioration) a été ouvert. Il y a aussi ce rapport similaire .

Totor
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.