ssh-agent: không chuyển tiếp xác thực cho toàn bộ khóa

10

Tôi có hai khóa ssh riêng:

một để truy cập của tôi personnal máy móc,
một để truy cập máy chủ tại công việc của tôi .

Tôi thêm hai khóa đó vào ssh-agent của tôi với ssh-add.

Bây giờ, khi tôi làm, ssh -A root@jobsrvtôi chỉ muốn chuyển tiếp xác thực đại lý cho khóa công việc của mình (công cụ tôi đang sử dụng để kết nối jobsrv).

Tôi muốn điều này bởi vì bất kỳ ai có quyền truy cập root jobsrvđều có thể sử dụng đại lý của tôi để xác thực chính mình với các máy cá nhân của tôi.

Có cách nào để đạt được sự cô lập này?

ssh security ssh-agent

— Cảm ứng
nguồn

bạn đã kiểm tra tùy chọn -i trong trang man của ssh chưa?

— Một con người vào

1

@Stillakid có, ssh -A -i myjobkey_rsa root@jobsrvvẫn cho phép máy jobsrv truy cập vào đại lý máy cục bộ của tôi và xác thực trên máy chủ cá nhân của tôi bằng khóa (personnal) khác ...

— Totor

còn kiểm tra ssh-keyign?

— Một con người vào

2

Để buộc ssh(1)sử dụng một khóa cụ thể ngay cả khi ssh-agent(1)cung cấp nhiều khóa, hãy sử dụng IdentityFilevà IdentitiesOnlychỉ thị trong ~/.ssh/config, ví dụ:

Host example.com
    IdentityFile ~/.ssh/keys/special.pem
    IdentitiesOnly yes

Xem ssh_config(5)để biết chi tiết.

— mjhennig
nguồn

Điều này không hoạt động . IdentitiesOnlyáp dụng khi bạn cố gắng kết nối với máy chủ từ xa. Khi bạn đã kết nối, nếu -Achuyển tiếp tác nhân được bật, toàn bộ khóa được chuyển tiếp.

— Totor

Các keyring không được chuyển tiếp. Đây là yêu cầu auth đó được chuyển tiếp trong .

— bahamat

@bahamat Chắc chắn, sai lầm của tôi. Tuy nhiên, giải pháp này không hoạt động.

— Totor

2

Thật không may, tôi tin rằng không thể đạt được điều này một cách dễ dàng ở thời điểm hiện tại . Người ta có thể sử dụng hai tác nhân (một cho mỗi khóa) để không có tác nhân giữ mọi khóa. Nhưng điều này sẽ khá cồng kềnh để làm việc.

Đây là lý do tại sao một báo cáo lỗi (tăng cường) đã được mở. Có báo cáo tương tự này quá.

— Cảm ứng
nguồn