Wie kann ich ssh-add automatisch ohne Passwortabfrage ausführen?

Dies ist ein typisches Beispiel für einen Kompromiss zwischen Sicherheit und Bequemlichkeit. Zum Glück gibt es eine Reihe von Möglichkeiten. Die am besten geeignete Lösung hängt vom Verwendungsszenario und der gewünschten Sicherheitsstufe ab.

SSH-Schlüssel mit Passphrase, nein ssh-agent

Jetzt muss die Passphrase jedes Mal eingegeben werden, wenn der Schlüssel zur Authentifizierung verwendet wird. Dies ist unter Sicherheitsgesichtspunkten zwar die beste Option, bietet jedoch die schlechteste Benutzerfreundlichkeit. Dies kann auch dazu führen, dass eine schwache Passphrase ausgewählt wird, um die Belastung durch wiederholte Eingabe zu verringern.

ssh-Schlüssel mit Passphrase, mit ssh-agent

Wenn Sie ~/.bash_profile Folgendes hinzufügen, wird automatisch ssh-agent und laden Sie die SSH-Schlüssel beim Anmelden:

if [ -z "$SSH_AUTH_SOCK" ] ; then eval `ssh-agent -s` ssh-add fi 

Jetzt muss die Passphrase bei jedem eingegeben werden Anmeldung. Aus Sicht der Benutzerfreundlichkeit ist dies zwar etwas besser, hat jedoch den Nachteil, dass ssh-agent zur Eingabe der Passphrase auffordert, unabhängig davon, ob der Schlüssel während der Anmeldesitzung verwendet werden soll oder nicht. Jedes neue Login erzeugt auch eine eigene ssh-agent -Instanz, die auch nach dem Abmelden mit den hinzugefügten Schlüsseln im Speicher ausgeführt wird, sofern dies nicht explizit beendet wird „e880c8eccc“>

Fügen Sie dies zu Ihrer ~/.bashrc hinzu und melden Sie sich ab und wieder in Kraft treten.

 if [ ! -S ~/.ssh/ssh_auth_sock ]; then eval `ssh-agent` ln -sf "$SSH_AUTH_SOCK" ~/.ssh/ssh_auth_sock fi export SSH_AUTH_SOCK=~/.ssh/ssh_auth_sock ssh-add -l > /dev/null || ssh-add  

Dies sollte nur zur Eingabe eines Kennworts auffordern Das erste Mal, dass Sie sich nach jedem Neustart anmelden. Es wird dieselbe ssh-agent so lange wiederverwenden, wie es ausgeführt wird.

Kommentare

• sehr ordentlich Auf diese Weise wird nur ein SSH-Agent ausgeführt (: Mehrere Agenten wie in @thomasNyman ‚ Die zweite Lösung scheint mir ein Sicherheitsrisiko zu sein …
• Nach Recherchen an verschiedenen Standorten und dem Lesen verschiedener Lösungen scheint diese hier die klarste zu sein, direkt auf den Punkt. Sehr schön. +1
• besser, dies zu tun: `alias ssh = ssh-check-agent “ und lassen Sie die Check-Agent-Version wie folgt vorgehen: a) Sie erhalten nur einen Agenten und b) Sie erhalten den Agenten nur, wenn Sie ihn benötigen
• Ich denke, -s ist die Standardeinstellung, daher tun wir ‚ dies bereits.
• Beachten Sie, dass ssh-add ohne Argumente fügt ~/.ssh/id_rsa hinzu. Möglicherweise möchten Sie ssh-add Argumente übergeben, wenn sich Ihre privaten Schlüssel in einer anderen Datei befinden.

Nicht eng mit der Frage des OP verbunden, aber möglicherweise für andere nützlich: Seit 7.2.0 verfügt ssh (1) über eine Option, mit der ssh-agent bei der ersten Authentifizierung einen Schlüssel hinzugefügt werden kann. Die Option lautet AddKeysToAgent und kann auf yes, no, ask oder confirm, systemweit oder in Ihrer persönlichen .ssh/config -Datei.

Referenz : https://www.openssh.com/txt/release-7.2

Kommentare

• Gilt für diejenigen, die neu in der Datei .ssh/config sind: Dies gilt für ssh und alles, was dahinter, zum Beispiel scp, und kann auf Hostbasis durchgeführt werden.
• Es fragt mich immer noch nach dem Passwort Jedes Mal, wenn ich mich anmelde und versuche, zum Beispiel zu ziehen.
• @trainosis Das Problem ist, dass wahrscheinlich keine ssh-agent-Instanz ausgeführt wird, um die entschlüsselten Schlüssel für die zukünftige Verwendung im Speicher zu halten. Sie sollten das Kennwort für einen bestimmten Schlüssel nur einmal pro Anmeldesitzung eingeben müssen, wenn Sie ssh-agent verwenden.

ssh-agent speichert verschiedene entsperrte SSH-Schlüssel zwischen, sodass Sie SSH-Schlüssel durch Kennwörter schützen können, ohne sie jedoch jedes Mal eingeben zu müssen.

Um entsperrte Schlüssel zwischenzuspeichern, müssen diese Schlüssel offensichtlich entsperrt werden. Zum Entsperren von Schlüsseln, die mit einer Passphrase gesperrt sind, müssen diese Passphrasen offensichtlich bekannt sein.

Jede Methode, für die keine Autorisierung durch einen Menschen erforderlich ist (z. B. „Eingeben eines Passworts“), führt nicht nur zu Ihrer System unsicher; Dadurch wird auch der gesamte Zweck des SSH-Agenten bedeutungslos.

Nachdem Sie dies alles gesagt haben, können Sie einfach SSH-Schlüssel verwenden, die nicht durch ein Passwort geschützt sind (drücken Sie Enter , wenn Sie dazu aufgefordert werden für ein Passwort während der Schlüsselgenerierung). Da es kein Passwort gibt, muss ssh-agent Sie nicht nach einem fragen, um es (nicht) zwischenzuspeichern.

Kommentare

• Ich stimme zu, solange Ihre Schlüssel ordnungsgemäß nur vom Benutzer autorisiert sind, hat ssh-agent wenig Vorteil gegenüber berechtigungslosen Schlüsseln. Ich möchte in einen Anmeldeserver ssh, und dann hat dieser Server eine Reihe von permssionslosen Schlüsseln, von denen jeder nur zum Entsperren eines anderen Servers verwendet werden kann. Der Anmeldeserver tut nichts anderes, daher ist es ‚ viel schwieriger zu hacken / fälschen usw. Die anderen Server haben keinen Kennwortzugriff und sind nur Schlüssel.

Hier ist eine Problemumgehung zur Automatisierung Ihrer SSH-Passphrase.

1. Erstellen Sie ein einzeiliges Skript, das Ihre Passphrase in die Standardausgabe druckt, z. B.:

    echo "echo MY_SSH_PASSWORD" > ~/.print_ssh_password && chmod 700 ~/.print_ssh_password 

   Wichtig: Stellen Sie sicher Sie kopieren den führenden Bereich nach und verhindern, dass Ihr Kennwort in Ihrem Verlauf gespeichert wird .

Verwenden Sie eine der folgenden Methoden.

• Verwenden Sie einen Standardeingabeansatz:

  cat ~/.ssh/id_rsa | SSH_ASKPASS=~/.print_ssh_password ssh-add - 

• oder Named Pipe -Ansatz:

  1. Erstellen Sie eine Named Pipe (Sie können auch eine -Prozessersetzung versuchen):

     mkfifo --mode 0600 ~/.ssh_fifo 

  2. Führen Sie ssh-add durch Angabe des für die Authentifizierung verwendeten Programms:

     cat ~/.ssh/id_rsa >~/.ssh_fifo | SSH_ASKPASS=~/.print_ssh_password ssh-add ~/.ssh_fifo 

  Siehe: man ssh-add , um mehr über SSH_ASKPASS zu erfahren.

Kommentare

• Die echo my_passphrase ist eine große Sicherheitslücke. Nachdem Sie es eingegeben haben, befindet sich das Kennwort im Klartext in der Verlaufsdatei der von Ihnen verwendeten Shell. Und zweite Befehlszeilenargumente sind unter Unix weltweit lesbar (ps -ef). Fügen Sie niemals Kennwörter in Befehlszeilenargumente ein!
• @ceving Das Hinzufügen von zusätzlichem führenden Leerzeichen löst das Problem mit der Verlaufsdatei. Zusätzliche Informationen hinzugefügt.
• @kenorb: ‚ löst das größere Problem des in ps sichtbaren Passworts nicht Ausgabe. Die Verlaufsdatei ist normalerweise ohnehin nur für den Benutzer lesbar, die Befehlszeilen sind jedoch für alle Benutzer auf einem System lesbar.

Ich empfehle Ihnen beim Anmelden nicht, ssh-add (das einen ssh-agent öffnen muss). Dies liegt daran, dass Sie nicht steuern können, wann der Abschnitt ssh-agent endet, und ein Sicherheitsrisiko verursachen können Wenn Sie die Schlüsseldateien nicht in einem Anmeldeabschnitt verwenden müssen.

Ich empfehle stattdessen, ein Skript zu schreiben, das die Unter-Shell eines SSH-Agenten öffnet, wobei alle Schlüsseldateien automatisch hinzugefügt werden und wann aufgerufen wird erforderlich, um ssh zu verwenden. Wenn Sie dies übernehmen könnten, lesen Sie weiter.

Sie haben zwei Möglichkeiten:

1. Entfernen Sie alle Passphrasen für Ihre Schlüssel, die schwache Sicherheit wenn Ihre Schlüsseldateien gestohlen werden (daher nicht empfohlen )

2. Verwenden Sie dieselbe Passphrase für Ihre Schlüssel. Wenn Sie dann ssh-add keyfile1 keyfile2 ... verwenden, müssen Sie die Passphrase nur einmal pro Abschnitt eingeben.

   li>

In beiden Fällen können Sie die folgende Skriptdatei „ssh_keys_section.sh“ wie folgt schreiben:

#!/bin/bash # This script run a ssh-agent on a sub-shell and automatically ssh-add all keyfiles at once. # This agent ends when you type `exit` to close the sub-shell. exec ssh-agent bash -c "ssh-add /path/to/keyfile1 /path/to/keyfile2 ...; exec bash" 

Anmerkungen:

• Befehl zum Ändern oder Löschen der Passphrase: ssh-keygen -p -f keyfile
• Innerhalb der Sub-Shell können Sie sogar mehr Terminals teilen, die dieselbe verwenden Entsperrte Schlüssel, indem Sie möglicherweise einen Befehl wie /path/to/yourterminal & (abhängig vom Betriebssystem) verwenden.

Kommentare

• ZB Unter Windows in Cygwin ist /path/to/yourterminal & == > mintty &
• Anmerkung: Schließen Sie die Sitzung nach der Verwendung mit ctrl-d oder exit, genau wie Sie eine verschachtelte bash Shell und müssen geschlossen werden.

if [ ! -S ${HOME}/.ssh/ssh_auth_sock ]; then eval $(ssh-agent) ln -sf "${SSH_AUTH_SOCK}" ${HOME}/.ssh/ssh_auth_sock fi export SSH_AUTH_SOCK=${HOME}/.ssh/ssh_auth_sock ssh_keys=$(find -E ~/.ssh -type f -regex ".*(rsa$|pem)") ssh_agent_keys=$(ssh-add -l | awk "{key=NF-1; print $key}") for k in "${ssh_keys}"; do for l in "${ssh_agent_keys}"; do if [[ ! "${k}" = "${l}" ]]; then ssh-add "${k}" > /dev/null 2>&1 fi done done 

Ich habe das von Steampowered erwähnte Skript verwendet. Ich habe jetzt das folgende Skript erstellt, da es keine Dateien hinterlässt herumliegen.

Nur an der zsh Shell arbeiten.

#!/usr/bin/env zsh AGENT_BIN=`which ssh-agent` AGENT_ADD_BIN=`which ssh-add` AGENT_PID=`ps -fe | grep ${AGENT_BIN} | awk -vuser=$USER -vcmd="$AGENT_BIN" "$1==user && $8==cmd{print $2;exit;}"` if [ -z "$AGENT_BIN" ]; then echo "no ssh agent found!"; return fi if [ "" -eq "$AGENT_PID" ]; then if read -sq "YN?Do you want to unlock your ssh keys?"; then echo "" output=`$AGENT_BIN | sed "s/echo/#echo/g"` eval $output $AGENT_ADD_BIN fi else for f in "/proc/"* do cmdline=`cat "$f/cmdline"` if [ "${AGENT_BIN}" -ef "${cmdline}" ]; then export SSH_AUTH_SOCK=`cat $f/net/unix | grep --binary-file=text -oP "((/[^/]*?)+/ssh-[^/]+/agent\.\d+$)"` export SSH_AGENT_PID=${f##*/} break; fi done fi 

Kommentare

• “ Arbeiten an Nur zsh-Shell „, okay, aber warum gibt Ihre Shebang-Zeile an, dass nur “ sh „?

SSH_ENV="$HOME/.ssh/environment" function start_agent { echo "Initialising new SSH agent..." /usr/bin/ssh-agent | sed "s/^echo/#echo/" > "${SSH_ENV}" echo succeeded chmod 600 "${SSH_ENV}" . "${SSH_ENV}" > /dev/null /usr/bin/ssh-add; } # Source SSH settings, if applicable if [ -f "${SSH_ENV}" ]; then . "${SSH_ENV}" > /dev/null #ps ${SSH_AGENT_PID} doesn"t work under cywgin ps -ef | grep ${SSH_AGENT_PID} | grep ssh-agent$ > /dev/null || { start_agent; } else start_agent; fi 

Hier Kredit geben: https://www.cygwin.com/ml/cygwin/2001-06/msg00537.html

Diese Lösung wird auch hier empfohlen: http://mah.everybody.org/docs/ssh

Wenn Sie Seepferdchen als Passwortmanager ausführen … was Sie wahrscheinlich sind; D

Eine andere Lösung, die das gesuchte Ziel erreicht, besteht darin, Seahorse einfach die SSH-Schlüssel für die automatische Entsperrung beim Anmelden hinzuzufügen . Der Hauptvorteil dabei ist, dass Sie nach der Anmeldung über gdm oder mit was auch immer Sie sich anmelden, niemals ein Passwort für die Schlüssel eingeben müssen, selbst wenn die Schlüssel ein Passwort haben. Dies erfordert sowohl den privaten als auch den öffentlichen Schlüssel. Sie MÜSSEN auch einer Namenskonvention für Seepferdchen folgen. Der Standardwert ist akzeptabel (id_rsa für privaten Schlüssel und id_rsa.pub für öffentlichen Schlüssel … Wirklich alles, was privatekeyname und privatekeyname.pub ist)

Um Ihren SSH-Schlüssel zum Seepferdchen hinzuzufügen und ihn beim Anmelden automatisch zu entsperren; (Auf fedora25 bin ich mir nicht sicher, wo sich der Pfad in anderen Distributionen befindet, obwohl er höchstwahrscheinlich sehr ähnlich ist.)

/lib64/seahorse/seahorse-ssh-askpass /path/to/keys/here 

Für mich war es

/lib64/seahorse/seahorse-ssh-askpass ~/.ssh/id_rsa 

(Seepferdchen nimmt automatisch an, dass der öffentliche Schlüssel in meinem Fall id_rsa.pub war)

Nach Ausführung des Befehls öffnet Seepferdchen a süßes kleines GTK-Passwortfeld, in das Sie das Passwort für den privaten Schlüssel eingeben können. Oder lassen Sie es einfach leer, wenn Sie den Schlüssel ohne Passwort generiert haben.

Seahorse fordert Sie nicht auf, wenn alles in Ordnung ist. Sie müssen versuchen, in den Zielcomputer zu ssh.Dann werden Sie von Seahorse aufgefordert, den Schlüssel mit einem Passwort grafisch freizuschalten (DAS PASSIERT NUR EINMAL), aber diesmal sollte es etwas anders aussehen; P (dies ist auch der Teil, in dem Seepferdchen Seepferdchen macht, um ssh-add Magie zu machen, glaube ich ) und bieten Sie die OPTION an, um den Schlüssel beim Anmelden zu entsperren. Aktivieren Sie diese Option Erreichen Sie Ihr Ziel.

Nur weil ich nicht alle Antworten gelesen habe, würde ich empfehlen, das, was Ihnen alle gesagt haben, mit ssh-add rückgängig zu machen, bevor Sie diese Antwort versuchen. Andernfalls kann etwas Schlimmes passieren zu Ihren Schlüsseln, idk.

Single Sign-On-Lösung für SSH könnte mich zu pam_ssh .

Laut dieses Artikels , Das Konzept lautet:

Wenn Sie über ssh mit mehreren * nix-basierten Maschinen arbeiten, haben Sie wahrscheinlich die Nachteile satt Sie müssen Ihr Passwort jedes Mal eingeben, wenn Sie auf eine andere Box zugreifen möchten. Es gibt eine sichere Möglichkeit, auf jeden Computer zuzugreifen, auf den Sie SSH-Zugriff haben, ohne ein anderes Kennwort eingeben zu müssen (außer dem, mit dem Sie sich ursprünglich angemeldet haben).

Dies ist eigentlich ganz einfach. Sie erstellen im Grunde nur ein öffentliches / privates Schlüsselpaar, um sich bei Ihren anderen Computern zu authentifizieren PAM erzeugt einen Agenten, der Ihre Schlüssel nach der Anmeldung lädt und eine Single Signon-Lösung für den Zugriff auf alle Ihre Remotecomputer bietet. Diese Anleitung führt Sie durch die Einrichtung.

Ich habe nicht überprüft, ob dies tatsächlich funktionieren würde.

Fügen Sie dies Ihrer ~/.bashrc -Datei hinzu:

ssh-add -L|grep identities > /dev/null && ssh-add /path/to/ssh/private/key 

Kommentare

• Ich ‚ sehe nicht, wie dies mit der Frage zusammenhängt, bei der es darum geht, nicht zur Eingabe des Kennworts aufgefordert zu werden bei nachfolgenden Anmeldungen.

Um einen (möglicherweise kennwortlosen) Schlüssel hinzuzufügen und sicherzustellen, dass ssh-add fordert nicht zur Eingabe eines Kennworts auf, egal was passiert, selbst wenn es unter X ausgeführt wird:

DISPLAY= ssh-add -k /path/to/key </dev/null &>/dev/null 

Der Beendigungsstatus zeigt Erfolg oder Misserfolg an.

Hier ist die endgültige Skript.

Aktualisieren Sie $ PASSW und fügen Sie es in Ihr Terminal ein.

# <sshpass> via typinator # Updated: 2017-01-18_21h36 # # apt-get update -y; apt-get install expect -qy # Pass this value to ssh-add PASSW="myfancypass123" # Define a name for this script THIS_SCRIPT="$(date +%Y-%m-%d_%H-%M-%S-%N)".sh # Create a fresh directory to work from / Clean up rm -rf ~/temp; mkdir -p ~/temp; cd ~/temp; ls -la # Output our bash script file - BEGIN cat <<< " #!/bin/bash set -u # Stop if an unbound variable is referenced set -e # Stop on first error export HISTIGNORE="expect*"; # Normal CMDs echo && echo "The process should take about 10 seconds:" && echo eval "$(ssh-agent -s)"; sleep 0.5; # Define VAR passed when this bash-script was launched password="$@" # Launch the expect magic expect -c " spawn ssh-add /root/.ssh/id_rsa expect "?assword:" send \"$password\r\" expect "?password:" send \"$password\r\" expect eof" export HISTIGNORE=""; export password=""; " > $THIS_SCRIPT # Output our bash script file - END # Ensure we are in the right path cd ~/temp; ls -la; sleep 1; # Run the bash script chmod +x ./$THIS_SCRIPT; ./$THIS_SCRIPT "$PASSW"; unset password; # Clean up rm -rf ~/temp; mkdir -p ~/temp; cd ~/temp; ls -la 

Mir ist am besten bekannt, ein PAM-Anmeldeskript zu verwenden, das ich aus früheren Arbeiten angepasst habe, weil ich in dieser Frage keine zufriedenstellende Antwort finden konnte.

Ihre Passphrase wird angezeigt verschlüsselt mit Ihrem Systemkennwort und einer umfangreichen Ableitungsfunktion gespeichert. Bei der Anmeldung wird Ihr Systemkennwort verwendet, um Ihre Passphrase zu entschlüsseln und dem Agenten hinzuzufügen.

https://github.com/capocasa/systemd-user-pam-ssh

Der Vorteil gegenüber jeder anderen vorgestellten Lösung besteht darin, dass die Sicherheit der manuellen Ausführung von ssh-add beim Booten ohne großen Aufwand kombiniert wird Keine zusätzlichen Tools und eine zusätzliche Abhängigkeit, die auf den meisten Systemen (OpenSSL) bereits standardmäßig installiert ist.

My Das Setup unter macOS ist wie folgt (in .zshrc oder .bash_profile für Bash-Leute):

Der Teil || [[ $SSH_AUTH_SOCK == *"/private/tmp/"* ]] ist unter macOS erforderlich, da der Standardwert /private/tmp/com.apple.launchd.SOMETHINGHERE/Listeners ist. Andernfalls schlägt die umfassende Antwort von @Thomas Nyman fehl, weil $SSH_AUTH_SOCK immer auf etwas gesetzt ist.

Dann in .zlogout (oder .bash_logout für Bash-Leute):

if [ -n "$SSH_AUTH_SOCK" ] ; then eval `/usr/bin/ssh-agent -k` fi 

Getestet unter macOS Mojave 10.14.5

Dies wurde von GitHub unter erklärt. Automatischer Start von ssh-agent unter Git für Windows , was wiederum auch für Linux funktioniert.

Sie können ssh-agent automatisch ausführen, wenn Sie die Bash- oder Git-Shell öffnen. Kopieren Sie die folgenden Zeilen und fügen Sie sie in Ihre ~/.profile oder ~/.bashrc -Datei in der Git-Shell ein:

 env=~/.ssh/agent.env agent_load_env () { test -f "$env" && . "$env" >| /dev/null ; } agent_start () { (umask 077; ssh-agent >| "$env") . "$env" >| /dev/null ; } agent_load_env # agent_run_state: 0=agent running w/ key; 1=agent w/o key; 2= agent not running agent_run_state=$(ssh-add -l >| /dev/null 2>&1; echo $?) if [ ! "$SSH_AUTH_SOCK" ] || [ $agent_run_state = 2 ]; then agent_start ssh-add elif [ "$SSH_AUTH_SOCK" ] && [ $agent_run_state = 1 ]; then ssh-add fi unset env  

Wenn Ihr privater Schlüssel nicht an einem der Standardspeicherorte gespeichert ist (wie ~/.ssh/id_rsa) müssen Sie Ihrem SSH-Authentifizierungsagenten mitteilen, wo er zu finden ist. Geben Sie ssh-add ~/path/to/my_key.

Tipp: Wenn ssh-agent Ihren Schlüssel nach einiger Zeit vergessen soll, können Sie dies tun Konfigurieren Sie dies, indem Sie ssh-add -t <seconds> ausführen.