Làm cho mật khẩu của tôi được bảo vệ bằng khóa SSH hết hạn hoặc hết thời gian sau một thời gian

Tôi có khóa SSH riêng tôi sử dụng để xác thực được lưu trữ trong ~ / .ssh / id_rsa . Khi tôi ssh vào một máy chủ, tôi được nhắc nhập mật khẩu để mở khóa:

Tôi thích điều này. Tôi cũng thích rằng tôi có thể ssh nhiều lần và nó không nhắc tôi nhập mật khẩu.

Điều tôi không thích là tôi không bắt buộc phải nhập mật khẩu chính của mình vài ngày hoặc thậm chí vài tuần sau đó. Tôi có thể khóa màn hình hoặc đặt nó vào chế độ ngủ và tôi vẫn không phải nhập mật khẩu chính. Lần duy nhất nó dường như hết hạn mật khẩu là khi tôi đăng xuất (điều mà tôi hiếm khi làm).

Làm thế nào để tôi có được mật khẩu chính hết hạn sau một thời gian, buộc tôi phải nhập lại mật khẩu để xác thực? Làm cho nó có lẽ sau 1 giờ, chìa khóa sẽ tự động bị quên.

Thay vì điều chỉnh ssh-agent (hiện yêu cầu số lần hack ngớ ngẩn), tôi thực sự khuyên bạn chỉ nên thay đổi cài đặt trên móc khóa (đăng nhập) mặc định của bạn. Tôi sử dụng 'khóa khi ngủ' rất hữu ích cũng như 'khóa sau 4 giờ' vì tôi không muốn nhắc nhở trừ khi tôi thực sự cảm thấy khó chịu.

Mở Keychain Access và nhấp chuột phải vào móc khóa đăng nhập để thay đổi cài đặt:

Hoặc nếu bạn thích một dòng lệnh:

security set-keychain-settings -lu -t 14400

Điều này sẽ dẫn đến ít nhất một lời nhắc bổ sung để tự mở khóa móc khóa (yêu cầu mật khẩu đăng nhập của bạn) cũng như lời nhắc cho bất kỳ khóa nào bạn đang cố sử dụng ... nhưng nó sẽ vô hiệu hóa IMO Bảo vệ toàn vẹn hệ thống.

Lưu ý : trong các phiên bản OS X mới hơn, bạn phải tắt Bảo vệ toàn vẹn hệ thống để câu trả lời này hoạt động. (Cảm ơn @Dave Gregory và @Jaap đã chỉ ra điều này.)

Mở /System/Library/LaunchAgents/com.openssh.ssh-agent.plist(trong các phiên bản cũ hơn org.openbsd.ssh-agent.plist:) trong trình soạn thảo văn bản. Thay thế:

<key>ProgramArguments</key>
<array>
    <string>/usr/bin/ssh-agent</string>
    <string>-l</string>
</array>

với:

<key>ProgramArguments</key>
<array>
    <string>/usr/bin/ssh-agent</string>
    <string>-l</string>
    <string>-t</string>
    <string>30m</string>
</array>

Điều này sẽ hết hạn sau 30 phút.

Khởi động lại. Chờ đã, khởi động lại?!? Đây không phải là Windows! Vâng, khởi động lại.

Chà, bạn có thể thử giải mã các hướng dẫn để thay đổi cài đặt khi đang bay , nhưng chúc may mắn.

Bạn cần thiết lập tuổi thọ của chìa khóa. Nó thường mặc định là mãi mãi.

Khi bạn chạy ssh-addbạn muốn sử dụng -ttùy chọn. Nếu bạn muốn một cuộc sống quan trọng của một giờ thì đó là ssh-add -t 1h. Các định dạng thời gian có thể được nhìn thấy trong sshd_configtrang man nhưng chỉ đơn giản là chúng là một số theo sau bởi s, m, h, d hoặc w trong vài giây, phút, giờ, ngày hoặc tuần.

ssh-addcó thể được đưa vào tệp .bashrc của bạn và nó sẽ chỉ yêu cầu bạn xác thực khóa một lần. Ngay cả khi khóa "hết hạn", nó vẫn không bị xóa - nó chỉ yêu cầu nhập lại cụm mật khẩu khi một nỗ lực được thực hiện để sử dụng nó.

Tùy chọn khác sẽ là thay đổi các tùy chọn khởi chạy ssh-agentđược lưu trữ /System/Library/LaunchAgents/org.openbsd.ssh-agent.plistvà thêm vào -tđó. (Tôi sử dụng LaunchControlđể thay đổi những thứ này nhưng bạn có thể làm bằng tay nếu bạn cẩn thận.)

Một giải pháp khác là:

ssh-add -t <time> <ssh-private-key>  # Set maximum lifetime to your SSH priv key.
killall ssh-agent                    # Kill all ssh-agent processes.
ssh-add -D                           # Delete all identities recorded by the agent.

Với giải pháp này, bạn không phải chọn thời gian chờ cho tất cả móc khóa của mình - khá khó chịu khi bạn muốn đặt thời gian chờ vài giây để ghi mật khẩu khóa riêng - và bạn không phải tắt SIP để chỉnh sửa / Hệ thống / Thư viện / LaunchAgents / org.openbsd.ssh-agent.plist.