Anders Wegge Jakobsen <wegge@bakkelygaard.dk> wrote:
> Ja, det ved jeg, men måden ssh-agent fungerer på betinger at man har
> den private del af nøglen liggende på alle de maskiner hvorfra man vil
> lave login til andre maskiner, og installerer den offentlige del på
> dem.
Nej, authentication forwarding (som af gode grunde er slaaet fra per
default) lader ssh relaye authentication requests tilbage til din
arbejdstation. F.eks. indeholder min ~/.ssh/config blandt andet
foelgende for de maskiner jeg stoler paa:
Host miracle
Hostname 193.162.142.71
ForwardAgent yes
Protocol 2
Paa denne maade kan jeg fra min laptop (priceless), som har ssh-agent
koerende, logge ind paa miracle, og derefter videre til andre maskiner
jeg har adgang til. Jeg tillader ikke at alpha forwarder mine
authentication requests, derfor kan jeg ikke logge ind paa beta eller
miracle fra alpha.
priceless$ ssh miracle
This is 'miracle.mongers.org' -- intruders will be shot, raped and burned.
miracle$ ssh a@alpha.area51.dk
Alpha$ ssh a@beta.area51.dk
Permission denied (publickey).
Alpha$ ssh holsta@miracle.mongers.org
This is 'miracle.mongers.org' -- intruders will be shot, raped and burned.
Permission denied (publickey).
Jeg indtaster kun min passphrase een gang, nemlig naar jeg logger ind i
X paa min laptop. Jeg har kun min private key liggende to steder: min
laptop og et CompactFlash kort som jeg bruger til backup af mine
kryptografiske noegler.
> Det kan godt komme til at knibe lidt. En af maskinerne er en laptop,
> andre er placeret på mit arbejde, hvor jeg ikke har 100% kontrol over
> systemet, så det med at holde den private nøgle hemmelig er en
> non-triviel opgave.
Du skal ikke lave authentication forwarding til maskiner som du ikke
stoler paa; root kan stjaele din session og logge ind paa andre maskiner
som dig.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow.
http://a.mongers.org