Início / computer / Perguntas / 1855569
Accepted
hotoku
Asked: 2024-09-13 09:09:37 +0800 CST

O ssh lembra das chaves privadas?

  • 772

Acho que -ia opção do ssh é designar o arquivo de chave.

Descobri que podia ser autenticado pelo github.com com qualquer arquivo, mesmo um vazio, como na captura de tela a seguir.

captura de tela de autenticação bem-sucedida com arquivo vazio

Mas depois de reiniciar, não consigo mais ser autenticado.

Observando isso, acho que o comando ssh lembra as chaves que já foram usadas e as usa automaticamente quando falha com a chave fornecida pela -iopção.

Está certo? Acho que esse é um comportamento muito antinatural e tenho certeza de que entendi errado alguma coisa.

ssh

2 respostas

  1. Best Answer

    Lembra sshdas chaves privadas?

    A resposta depende da implementação que sshvocê está usando e da sua configuração. Aqui, mostrarei uma configuração possível envolvendo ssho OpenSSH; para essa configuração em particular, a resposta simplificada é sim.

    Configuração possível

    Primeira coisa: -i /the/keypor si só não impede ssho uso de outras chaves. Ele impede ssho retorno às chaves padrão ( ~/.ssh/id_rsa, ~/.ssh/id_ecdsa, ~/.ssh/id_ecdsa_sk, ~/.ssh/id_ed25519, ~/.ssh/id_ed25519_sk), mas se sua configuração ( ~/.ssh/confige /etc/ssh/ssh_config) especificar chave(s) adicional(ais) ( IdentityFilediretiva(s)), então será como se você tivesse usado várias -iopções: várias chaves serão tentadas uma por uma até que uma seja aceita ou a lista seja esgotada.

    No seu caso, se a chave correta veio da configuração, ela seria usada também após a reinicialização. Isso não aconteceu, então deve ter havido outra coisa.

    Outra fonte de chaves (mesmo se você usar -i) pode ser um agente. Por favor, leia "entendimento ssh-agent" nesta minha outra resposta . Não precisa ser exatamente ssh-agent, há outros programas que podem assumir seu papel. De qualquer forma, pode haver um agente em execução.

    Vamos supor que haja um agente em execução. Quando você usa ssh -icom uma chave (por exemplo, com a chave certa no seu caso), sshpode ou não adicionar a chave ao agente. Isso é governado pela AddKeysToAgentopção:

    Especifica se as chaves devem ser adicionadas automaticamente a um ssh-agent(1). Se esta opção estiver definida como yese uma chave for carregada de um arquivo, a chave e sua frase-senha serão adicionadas ao agente com o tempo de vida padrão, como se por ssh-add(1).

    O valor padrão para AddKeysToAgenté no, mas se o administrador colocou AddKeysToAgent yesem /etc/ssh/ssh_config(ou se esse valor veio com a distribuição) ou se você colocou a linha em seu ~/.ssh/config(e talvez tenha esquecido), então o valor pode ser yespara seu ssh.

    Vamos supor que o valor seja yese, portanto, a chave correta foi adicionada ao agente. Se você usar sshnovamente, dessa vez com -i /wrong/key, então a chave do agente pode ou não ser usada. Isso é governado pela IdentitiesOnlyopção:

    Especifica que deve usar somente os arquivos de ssh(1)identidade e certificado de autenticação configurados (os arquivos padrão ou aqueles explicitamente configurados nos ssh_configarquivos ou passados ​​na ssh(1)linha de comando), mesmo se ssh-agent(1)ou oferecer mais identidades.PKCS11ProviderSecurityKeyProvider

    Se esta opção for no(o padrão), as chaves armazenadas no agente serão usadas. (Observe que há outros provedores possíveis, mas não vou entrar em detalhes).

    Tudo isso significa que se houver um agente em execução e if AddKeysToAgentis yes(ou similar) e if IdentitiesOnlyis noentão o que você observou é o comportamento esperado. Neste caso, a resposta simplificada para sua pergunta é sim. A resposta estrita não simplificada é: não, ssh ele mesmo não lembra chaves privadas (mas ssh-agentlembra).

    Como confirmar

    Para verificar se há um agente, execute:

    env | grep -E '^SSH_AUTH_SOCK|^SSH_AGENT_PID'

    Se SSH_AUTH_SOCKexistir no ambiente, então provavelmente um agente está em execução. É possível que seu ambiente de desktop execute um agente para você toda vez que você fizer login nele e você não estava ciente até este ponto. Se SSH_AGENT_PIDexistir no ambiente, então você pode investigar mais com, por exemplo ps -u -p "$SSH_AGENT_PID", .

    Você pode ver a configuração relevante ssh(do OpenSSH) executando ssh -G:

    ssh -G -i /tmp/hoge [email protected] | grep -iE 'identityfile|addkeystoagent|identitiesonly'

    Note que a saída pode incluir IdentityFilelinhas diferentes, dependendo se /tmp/hogeexiste ou não. O arquivo existia quando você observou o "problema", então certifique-se de que ele existe agora quando estiver usando ssh -G.

    ssh -Gnão mostrará quais chaves foram adicionadas ao agente. Para vê-las, consulte o agente:

    ssh-add -l

    Reinicie e replique o "issue", invocando ssh-add -lantes e depois de cada ssh. Dessa forma, você saberá se essa resposta explica o que acontece no seu caso em particular.

    Mesmo que isso não seja (ou não seja exatamente) o que acontece no seu caso específico, o cenário é plausível e a resposta pode ser útil para outros.

    • 2

  2. Sua captura de tela parece com o macOS, que pelo que me lembro tem um patch personalizado para OpenSSH para adicionar automaticamente chaves privadas ao seu ssh-agent (Keychain?). Use ssh-add -lpara listá-las e ssh-add -Dpara limpá-las.

    (Isso é anterior à opção padrão AddKeysToAgent que o OpenSSH obteve posteriormente, então não sei se é configurável.)

    A -iopção não é exclusiva com o uso do agente; a chave especificada será tentada primeiro , mas as outras chaves disponíveis (incluindo aquelas do ssh-agent) permanecerão na lista. Use -oIdentitiesOnly=truepara alterar esse comportamento.

    • 1

relate perguntas