Il terminale non richiede passphrase e non memorizzato nel portachiavi

5

Recentemente ho noleggiato un VPS e ho generato una coppia di chiavi pubblica / privata e l'ho trasferito sul mio server (l'ho aggiunto al file authorized_keys) ...

Finora al mio primo accesso tramite terminale su OSX mi è stato chiesto il passphrase e ho rifiutato di salvarlo sul mio portachiavi.

Tuttavia il mio terminale non richiede più la passphrase, invece posso collegarmi istantaneamente tramite "ssh myserver.com" ...

Non riesco a trovare la chiave nel mio portachiavi (perché dovrei) e non riesco a capire perché non sta chiedendo la mia passphrase!

EDIT: Ok, dopo un riavvio del mio macbook ricevo di nuovo il prompt. Una volta. Sembra che lo salvi temporaneamente ... Non lo voglio

macos  terminal  password  ssh  keychain 
Sefer
fonte

Risposte:

8

La passphrase non viene archiviata da nessuna parte, ma la chiave privata decrittografata viene archiviata (in memoria) da un processo chiamato ssh-agent(pagina man) . Questo processo, avviato da OS X all'avvio, archivia e gestisce le chiavi private in modo che non debbano mai essere esposte ad altri processi che utilizzano connessioni SSH.

Quando si immette la password, il computer decodifica la chiave privata e ne ssh-agentottiene una copia da conservare finché non viene uccisa (ad esempio all'arresto) o la chiave viene rimossa manualmente utilizzando ssh-add(pagina man) :

  • ssh-add -l elenca tutte le chiavi attualmente in attesa
  • ssh-add -Dcostringe ssh-agenta dimenticare tutte le chiavi attualmente in possesso
  • ssh-add ~/.ssh/newkey_rsaaggiunge la chiave privata ~/.ssh/newkey_rsaa ssh-agent.
  • ssh-add -t 3600 ~/.ssh/newkey_rsaaggiunge una nuova chiave privata con un tempo di scadenza, quindi ssh-agentricorderà solo newkey_rsa(diciamo) 3600 secondi.

Potrebbe soddisfare le tue preoccupazioni sapere che la tua passphrase non è memorizzata da nessuna parte. Ma se vuoi davvero che il tuo computer ti chieda sempre la tua passphrase, potresti usare ssh-addper ssh-agentdimenticare la chiave e poi aggiungerla di nuovo con un breve periodo di scadenza.

Tieni presente che altre soluzioni, come la richiesta di una password per sbloccare la workstation quando sei lontano dalla scrivania, possono anche soddisfare le esigenze di sicurezza sottostanti.

Ross Churchley
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.