问题[ssh-agent](unix)

我想尝试 ssh-agent 免密码登录（我已经知道 gssapi 和 pubkey 方法，但我想学习这个）。在客户端和服务器上，我在 ssh_config（客户端）和 sshd_config（服务器）上启用了 AgentForward

在客户端，我启动 ssh-agent

eval `ssh-agent`

我添加我的 rsa 密钥

ssh-add

ssh-add -l 确认有效

ssh-add -l
4096 SHA256:******** mysuser@mylocalhost (RSA)

然后我登录并询问密码

ssh remotehost

远程主机上的 ssh-add -l 确认它有效

ssh-add -l
4096 SHA256:******** mysuser@mylocalhost (RSA)

现在我打开另一个 shell，ssh 到远程主机并..再次询问密码。如果我现在注销并登录..再次询问密码。怎么了？

我还尝试创建一个新的 rsa 密钥，添加密码，使用 ssh-add 添加 .. 仍然询问密码。

我正在研究一些外壳，我遇到了以下行： cat /ssh/sshkey | tr -d '\r' | ssh-add -

此代码获取密钥并将其添加到代理。这适用于其当前环境，但是当我在另一个 VM 上尝试时，我得到以下信息：Error loading key "(stdin)": invalid format

ssh-add 期待一个带有密码的提示，我相信这是这个错误的原因，但这是在一个脚本中，应该没有密码也可以工作。

我错过了什么？

我完全迷失在这里。

我发现了在我的 keepass 数据库中存储 ssh 私钥（我有很多）。在我有一个带有简单菜单的 bash 脚本之前，它只使用 ssh -i 并从 .ssh 目录本地获取 priv 密钥文件。这里的最终目标是创建一个集中可用的密码和私钥数据库，以便在不同设备上使用。

从那以后，我将所有 ssh 私钥都放在了我的 keepass 数据库中，我正在尝试弄清楚如何将 keepass/keeagent 与 bash 终端集成。

但是我想我误解了keepass实际上可以做什么。我想要做的是打开我的 keepass 数据库，运行我现有的 bash 脚本并能够以这种方式启动一个 ssh 会话。

我一直在尝试使用 ssh-agent，但实际上我不知道我在那里做什么或它是如何运作的。我在网上找到的所有信息都是通过我上面的步骤或不使用终端的选项进行的。

那么，有没有办法我可以运行这样的命令：ssh -i KEEPASS-DB-PRIVKEY user@ip或者这不是 keepass/keeagent/sshagent 的能力？

我在 ubuntu 20.04 上使用 KDE 等离子作为桌面。我安装了 keeagent 插件的 keepass2 (2.44)。

每当我连接到我的主机时，我都会看到

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
SHA256:J6ErF8jeZVKGsg0db5u2hiNeQbH4pdGzPcbpGXZhOm8.
Please contact your system administrator.
Add correct host key in /home/ecarroll/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /home/ecarroll/.ssh/known_hosts:50
  remove with:
  ssh-keygen -f "/home/ecarroll/.ssh/known_hosts" -R "10.1.38.15"
ECDSA host key for 10.1.38.15 has changed and you have requested strict checking.
Host key verification failed.

我可以绕过打字的需要

  ssh-keygen -f "/home/ecarroll/.ssh/known_hosts" -R "10.1.38.15"

通过-o StrictHostKeyChecking=no在对 ssh 的调用中使用。但是，即使我这样做。我明白了，

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
SHA256:ZVbYVYb0m3udeHMkycdZCF4HK7sGUzVnQmhTjDFTa6Y.
Please contact your system administrator.
Add correct host key in /home/ecarroll/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /home/ecarroll/.ssh/known_hosts:50
  remove with:
  ssh-keygen -f "/home/ecarroll/.ssh/known_hosts" -R "10.1.38.15"
Password authentication is disabled to avoid man-in-the-middle attacks.
Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks.
Agent forwarding is disabled to avoid man-in-the-middle attacks.

你会在底部看到这条线，

Agent forwarding is disabled to avoid man-in-the-middle attacks.

无论如何我仍然可以启用代理转发吗？

当我运行时ssh-add -l，它不显示 SSH 密钥的位置。它输出以下内容：

4096 SHA256:bBMtB9wL6RXRWhvx5M+LDox6A2gq61CDtZN9F4bi3Gw [email protected] (RSA)
2048 SHA256:QbCO5y5SX+CSHd6++yXPpJuWGrxGCx5liNktjz51ZWY masoud@x (RSA)

我怎样才能让它也显示关键位置？

我正在运行 macOS Mojave 10.14.4。

我正在尝试将awesomeWindows 管理器作为ssh-agent. 当我使用startx（ssh-agent startx）时它起作用了。但现在我正试图让它在lightdm.

lightdm开始/usr/bin/xinitrcsession-helper：

#!/bin/bash
exec $HOME/.xinitrc

~/.xinitrc：

ssh-agent awesome

我得到的是：

  509     1   lightdm         /usr/bin/lightdm
  526   509     Xorg            /usr/lib/Xorg :0 -seat seat0 -auth /run/lightdm/root/:0 -nolisten tcp vt7 -novtswitch
  877   509     lightdm         lightdm --session-child 14 21
 1003   877       xinitrcse       /bin/bash /usr/bin/xinitrcsession-helper
 1028  1003         awesome         awesome
 1029  1028           ssh-a           ssh-agent awesome

并且set | grep SSH什么也不返回。

然后我开始另一个xterm( ssh-agent xterm) 并且它有效：

 1636     1   xterm           xterm
 1638  1636     bash            bash
 1651  1638       vim             vim
 9435  1651         xterm           xterm
 9447  9435           ssh-a           ssh-agent xterm
 9449  9435           bash            bash
10464  9449             ps              ps -eHo pid,ppid,comm,args
10465  9449             les             less

这里奇怪的是ssh-agent它启动的程序是一个子程序。你能解释一下吗？

以及如何运行awesome以便之后启动的程序可以看到ssh-agent？

UPD关于ssh-agent成为它运行的命令的孩子。那是为了能够替换command为ssh-agent command. 所以，ssh-agentforks 和 parentexec是command.

UPD我的不好，我用xbindkeys的是 start xterm，而前者恰好是之前启动的ssh-agent。就像在，xbindkeys && ssh-agent awesome。所以，它没有SSH_*变量可以传递给xterm. 或者说是我最可能的解释。当使用awesome's 的内置工具启动时xterm，环境变量是可以传递下来的。

是否有 SSH_AUTH_SOCK 环境变量的替代方法可以将代理信息传递给 ssh？

我正在寻找的是类似的东西，-o SshAuthSockPath="/path/to/socket"但似乎不存在这样的东西。我错过了什么吗？这在某种程度上是一个可怕的想法吗？

我希望能够为初始 ssh 命令和 ProxyJump 连接使用不同的代理，而无需包装脚本。

我有一个带有这个片段的脚本：

ssh-agent bash -c "ssh-add $SOME_KEY; \
                   git submodule update --init foo"

脚本在询问用户时挂起：

RSA 密钥指纹为 SHA256：[指纹]

您确定要继续连接（是/否）？

如何使脚本继续（是）？

• 我知道我可以调用ssh -o StrictHostKeyChecking=no来禁用它，但我调用的是gitnot ssh。

• 我知道我可以配置~/.ssh/config为禁用对该主机的严格密钥检查——但我不想修改用户的系​​统。

• 我知道我可以chmod 000 ~/.ssh/known_hosts禁用该用户的密钥检查，但我不想修改用户的系​​统

• yes | 我以为我可以在前面插入，git但它似乎不起作用。

我ssh-agent用作startx. 始终使用相同的套接字文件是否存在安全风险？

ssh-agent -a /tmp/xyz123 startx

-a指定套接字绑定地址。如果未指定，它将是一个随机文件名。

我想使用一个修复套接字文件名，因为我想SSH_AUTH_SOCK=/tmp/xyz123在我的 crontab 文件中指定。否则使用 SSH 的 cronjobs 会失败。

在具有强访问控制的服务器上，是否可以确保所有允许的密钥都具有密码保护。

如果没有密码保护，有没有办法拒绝访问某些密钥。我不介意用户是否使用代理（除非代理是确保密码的关键......）。我想确保所有使用的密钥都受密码保护。

谢谢你的光。