主页 / server / 问题 / 112920
In Process
MiniQuark
Asked: 2010-02-16 02:34:54 +0800 CST

如何在 MacOSX Leopard 中激活 ssh-agent 确认?

  • 772

我有一台装有 MacOSX Leopard (10.6.2) 的 MacBook,我用它通过 SSH 连接到一些服务器(他们的操作系统是 Debian Lenny)。我使用 RSA 密钥登录到服务器A,然后从那里“反弹”到其他服务器BCD。我已经在我的笔记本电脑中.ssh/config为服务器A激活了代理转发,以便能够连接到A,然后从ABCD “弹跳”,而不必每次都输入我的密码。它工作正常。

但我读到代理转发有一个安全漏洞:如果黑客获得root了服务器A的访问权限,他将能够劫持代理转发机制并连接到服务器BCD而无需任何密码。

显然,一种解决方案是使用ssh-add'-c选项:每次服务器A想要使用我的 RSA 密钥时,它都应该要求我确认。但由于某种原因,它失败了:

miniquark@mylaptop:~$ ssh-add -c
Enter passphrase for /Users/miniquark/.ssh/id_rsa: 
Identity added: /Users/miniquark/.ssh/id_rsa (/Users/miniquark/.ssh/id_rsa)
The user has to confirm each use of the key
miniquark@mylaptop:~$ ssh serverA
Agent admitted failure to sign using the key.
miniquark@serverA's password:

通常,我不需要ssh-add手动启动,因为 MacOSX 在我启动需要 RSA 密钥的 ssh 连接时会自动为我启动。因此,也许解决方案是将 MacOSX 配置为ssh-add使用该-c选项启动。不幸的是,我就是找不到那个选项。

如果您有任何其他想法可以保护我免受代理转发劫持,我将不胜感激。

谢谢你。

mac-osx ssh forwarding agent

2 个回答

  1. 代理尝试运行帮助程序来提示。在 OS X 上,这在默认情况下不存在,因此您需要提供一个(在 /usr/libexec/ssh-askpass)。我目前正在使用与此类似的一个:

    #! /bin/sh  

#  
# An SSH_ASKPASS command for MacOS X  
#  
# Based on script by Joseph Mocker, Sun Microsystems


TITLE=${MACOS_ASKPASS_TITLE:-"SSH Agent"}  

DIALOG="display dialog \"$@\" buttons {\"Deny\", \"Allow\"} default button 2"
DIALOG="$DIALOG with title \"$TITLE\" with icon caution"  

result=`osascript -e 'tell application "Terminal"' -e "$DIALOG" -e 'end tell'`  

if [ "$result" = "button returned:Allow" ]; then
    exit 0 
else  
    exit 1  
fi
    • 4

  2. 阅读此页面http://jcs.org/notaweblog/2011/04/19/making_openssh_on_mac_os_x_more_secure/了解 Joshua Stein 的解决方案

    • 0

相关问题