Inhaltsverzeichnis
Werbung
Sicherheitshandbuch. Benutzerhandbuch
3.4.4 Benutzung von SSH-Agenten
i
Die Verwendung eines SSH-Agenten macht es überflüssig, dass bei jedem Aufruf des Programms ssh
die (üblicherweise lange und komplexe) Passphrase eingetippt werden muss.
In einem Initialisierungsvorlauf für SSH wurden die Schlüsselpaare erzeugt, in den lokalen Dateien abgelegt und die
öffentlichen Schlüssel an die Kommunikationspartner verteilt. Zu Beginn einer interaktiven Session bzw. am Anfang
eines Scripts wird der SSH-Agent mittels eines Aufrufs des Kommandos
com
) gestartet. Dann werden ihm die notwendigen privaten Schlüssel mittels
führt diese privaten Schlüssel im Speicher in entschlüsselter Form. Für diesen Entschlüsselungsprozess benötigt er
die Passphrasen, falls welche spezifiziert wurden.
Von nun an bis zu seiner Beendigung kontaktieren SSH-Clients den SSH-Agenten automatisch für alle Schlüssel-
bezogenen Operationen. Wenn mittels eines
der lokale SSH-Agent und der remote sshd-Dämon automatisch die erforderliche Authentifizierungsprozedur durch.
Wenn eine Passphrase verwendet wird, muss sie nur einmal eingegeben werden. Sie wird von
aktuellen Terminal gelesen, falls
Terminal besitzt, aber die Variablen
spezifizierte Programm ausgeführt und ein X11-Window zum Lesen der Passphrase geöffnet. Dies ist nützlich wenn
in einer .Xsession oder in einem Startup-Script aufgerufen wird.
ssh-add
Beispiel
ssh-keygen -b 1024 -t rsa -C <comment> -N "<passphrase>"
# Erzeugt einen 1024 bit RSA key in SSH Version 2 geschützt durch eine
Passphrase
ssh-agent /bin/csh # Als Argument kann der Pfad auf eine Shell oder ein Shell Script
angegeben werden
ssh-add # Lädt standardmäßig alle Schlüssel der Identity-Datei
Es müssen die Umgebungsvariablen, die auf den Socket des SSH-Agenten zeigen, gesetzt werden, damit der SSH-
Client mit dem Agenten kommunizieren kann. Das Programm
notwendige Information:
Beispiel
# In SSH Version 2 Notation:
SSH2_AUTH_SOCK=/tmp/ssh-JGK12327/agent.12327; export SSH2_AUTH_SOCK;
SSH2_AGENT_PID=12328; export SSH2_AGENT_PID;
Diese Output-Kommandos des Programms
Beachten Sie dabei die rückläufigen Anführungszeichen (`):
eval `ssh-agent ...`
Das
-Kommando weist die Shell an, das Kommando
eval
von ihm generierten Kommandos auszuführen. Danach stehen die Shell Variablen
zur Verfügung. Nach Ausführung des Kommandos
SSH_AGENT_PID
Agenten ausgegeben.
-Aufrufs eine remote Verbindung eingerichtet werden soll, führen
ssh
vom Terminal gestartet wurde. Wenn
ssh-add
und
DISPLAY
SSH_ASKPASS
können mittels des
ssh-agent
ssh-agent
ssh-add
ssh-add
gesetzt sind, wird das durch
liefert hierfür bei seiner Rückkehr die
ssh-agent
-Kommandos ausgeführt werden.
eval
ablaufen zu lassen und anschließend die
ssh-agent
eval `ssh-agent`
(siehe
http://www.openssh.
übergeben. Der SSH-Agent
vom
ssh-add
kein ihm zugeordnetes
SSH_ASKPASS
und
SSH_AUTH_SOCK
wird die PID des SSH-
47
Werbung
Inhaltsverzeichnis
