Come attaccare ssh-agent bloccando il login di Windows?

8

È in qualche modo possibile sbloccare automaticamente le mie chiavi private per l'autenticazione ssh al login di Windows e (un) bloccarle quando (un) blocca la mia sessione?

Attualmente sto usando lo ssh-agent di msys, ma potrei immaginare usando ad esempio la sciarada come wrapper per lo spettacolo di putty, se esiste già una soluzione migliore.

windows-7  ssh  login  ssh-agent 
Tobias Kienzler
fonte
2
Ho solo una chiave senza password crittografata con EFS, che è trasparente ssh-agent, quindi la chiave può essere caricata automaticamente pur rimanendo sicura.
user1686
@grawity: grazie, è ancora più facile! se lo pubblichi come risposta, accetterò la correzione di modifica , non posso poiché il mio amministratore non ha configurato EFS correttamente :(
Tobias Kienzler,
Su un dominio di Active Directory? (Se non si dispone di un certificato, è cipher /knecessario crearne uno nuovo, anche se sarà
autofirmato
@grawity: grazie. L'ho provato, ma non è cambiato nulla. Ho iniziato una nuova domanda per questo problema: Impossibile crittografare i file (utilizzando EFS) su un dominio
Tobias Kienzler,

Risposte:

1

Grawity ha solo una chiave senza password crittografata con EFS, che è trasparente per ssh-agent, quindi la chiave può essere caricata automaticamente rimanendo al sicuro. Suggerisce inoltre quanto segue per Active Directory: se non si dispone di un certificato, è cipher /knecessario crearne uno nuovo, sebbene sia autofirmato .

Tom Wijsman
fonte
è sostanzialmente una buona idea, ma come detto i file di crittografia non funzionano. cipher /kfunziona bene, ma ottengo ancora "La politica di recupero configurata per questo sistema contiene un certificato di recupero non valido", ma risolvendo che (vedi qui ) sono necessari privilegi di amministratore ... Immagino che rimarrò con l'ibernazione o una chiave senza password non crittografata
Tobias Kienzler,
@Tobias: cosa intendi? Non hai i privilegi di amministratore? Dovresti usarli o chiedere all'amministratore di sistema di farlo per te. Se non hai modo di accedere all'account amministratore, prova a reinstallare se è il tuo sistema operativo personale o smetti di provare se si tratta di un sistema operativo aziendale. Forse prendere in considerazione l'utilizzo di una soluzione basata su Windows come Terminal Services ...
Tamara Wijsman,
è al lavoro e il nostro amministratore (che non concederà autorizzazioni di amministratore a nessuno) è abbastanza impegnato a mantenere il nostro cluster rispetto a questo problema solo per comodità
Tobias Kienzler,
1

Potresti essere in grado di ripristinare lo stato delle chiavi private che vengono sbloccate ibernando il processo nello stato in cui le chiavi private sono sbloccate; quindi, ogni volta che ne hai bisogno, potresti iniziare lo stato di ibernazione che hai catturato la prima volta. Tecnicamente, potrebbe funzionare ...

In caso contrario, prova a impostare uno script ( basato su AutoIt , forse) per fare ciò che faresti manualmente.

Tamara Wijsman
fonte
Non mi piace l'idea di mettere la mia password in chiaro in uno script, quindi preferirei una chiave senza crittografia senza password. Ma l'ibernazione è una buona idea, potrei semplicemente ibernare Windows invece di spegnerlo, il che dovrebbe mantenere l'istanza di ssh-agent.exe
Tobias Kienzler,
1
@Tobias: Il punto è che ciò che stai chiedendo è essenzialmente quello di vincolare il blocco del tuo agente SSH al tuo Login di Windows; l'unico modo per farlo è tramite gli script di Utilità di pianificazione per gli eventi di accesso, blocco e disconnessione. Puoi rendere lo script leggibile solo dall'utente che hai configurato nel Task Manager e puoi memorizzare la password in modo crittografato e decrittografarlo quando ne hai bisogno. L'unica cosa rimasta qui è qualcuno che ruba il tuo disco rigido, ma è per questo che sono stati inventati EFS e TrueCrypt. O inserisci la tua password O lo fai automaticamente memorizzandola da qualche parte ...
Tamara Wijsman,
1
è vero. Accetterò la risposta EFS della tua / grawity, poiché questa è la soluzione che userei se funzionasse. In realtà prendo in considerazione l'utilizzo di un file di chiave non crittografato (con autorizzazioni esclusive) poiché chiunque sia in grado di accedere al rispettivo disco rigido si troverebbe nella stessa stanza della macchina in cui mi trovo comunque: - / grazie per entrambe le risposte!
Tobias Kienzler,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.