keychain und die SSH Schlüssel

256bit.org Blog

Tuesday, 30. October 2007

keychain und die SSH Schlüssel

SSH Schlüssel sind erstellt und Putty wurde konfiguriert. Ein Nachteil der bisherigen Lösung ist, dass für jede Shell ein neuer ssh-agent gestartet werden muß. D.h. es kann sein, dass mehr ssh-agent laufen, als unbedingt nötig, weil man sich z.B. auf mehreren Konsolen eingeloggt hat. Das Problem hierbei ist, dass die Shells nicht ihre Umgebung voneinander erben, sondern jedesmal mit einer neuen Umgebung initialisiert werden und demzufolge einen eigenen ssh-agent starten.

Das ist nicht nur eine Verschwendung von Ressourcen, sondern auch für den Benutzer unbequem, weil er doch wieder x-mal sein Passwort eingeben muß.

Hier kommt nun keychain ins Spiel. Dabei handelt es sich um ein Wrapper - Shellscript, dass die Umgebungsvariablen vom ssh-agent persistent speichert und so auch neuen Login-Shells zur Verfügung stellt. Nebenbei schreibt es diese Umgebungsvariablen automatisch für Bourne-Shell, C-Shell und neuerdings wohl auch für die Fishshell, so dass jede Shell sie entsprechend auswerten kann.

Wenn keychain gestartet wird, schaut es nach, ob die gespeicherten Variablen noch valide sind, falls nein startet es einen neuen ssh-agent, schreibt dessen Umgebungsvariablen in ein Shellscript und fügt einen neuen Schlüssel mit ssh-add hinzu. Man muß also nur dann die Passphrase für den Schlüssel eingeben, wenn dieser das erstemal entschlüsselt wird.

Darüber hinaus besitzt keychain noch einige weitere nützliche Parameter. Hier hilft die manpage weiter.

Um keychain automatisch beim Login zu starten, sollte man einen Aufruf in das Startscript der Shell schreiben. Für die bash könnte man z.B. das folgende in ~/.bash_profile schreiben:

# starte ssh-agent mit dem Key id_dsa
/usr/bin/keychain ~/.ssh/id_dsa
test -r $HOME/.keychain/$(hostname)-sh && source $HOME/.keychain/$(hostname)-sh
 


Ein Problem gibt es noch. Was passiert, wenn X11 gestartet wird? Man kann dem ssh-add über eine Umgebungsvariable noch mitteilen, welches Programm zur Abfrage der Passphrase gestartet werden soll. So hab ich z.B. in meiner .xinitrc folgendes definiert:

export SSH_ASKPASS=/usr/lib/ssh/x11-ssh-askpass
host=`hostname`
/usr/bin/keychain ~/.ssh/id_rsa ~/.ssh/id_dsa
if [ -r $HOME/.keychain/${host}-sh]; then
        source $HOME/.keychain/${host}-sh
fi
 

Für Debian muß dafür noch das Paket ssh-askpass installiert werden und schon fragt der ssh-agent grafisch nach, was gestartet werden soll. Alternative Pakete existiern. apt-cache search ssh-askpass zeigt sie an

Mittlerweile beherrscht keychain auch den Umgang mit dem gpg-agent. Vereinfacht gesagt, ist die Funktion von gpg-agent ähnlich dem ssh-agent - es verwaltet das Passwort des geheimen gpg-Schlüssels.

Weitere Informationen zu keychain bekommt man auf der Website des Projekts. Eine genaue Vorstellung liefert eine Artikelserie auf developerworks (Teil 1, Teil 2 und Teil 3)

weitere Artikel kommen bestimmt...
Posted by
chrisbra
in Tipps And Tricks at 22:35 | Comments (0) | Trackbacks (0)
8524 hits
Defined tags for this entry: , , ,
Related entries by tags:
Trackbacks
Trackback specific URI for this entry
No Trackbacks
Comments
Display comments as (Linear | Threaded)
No comments
Add Comment
You can use [geshi lang=lang_name [,ln={y|n}]][/geshi] tags to embed source code snippets.
BBCode format allowed

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA

 
   
Submitted comments will be subject to moderation before being displayed.
 
 

Persönliches

chrisbra (Christian Brabandt) : Hier veröffentliche ich dies und das, hauptsächlich was ich für lesens- und wissenswert halte, sowie persönliche Notizen. Informationen über mich finden sich hier, hier und hier.
mschoechlin (Marc Schöchlin) : 35 Jahre alt, mein Erstkontakt mit TCP/IP und Unix lässt sich ungefähr auf das Jahr 1995 datieren. Ich bin bei einer Stuttgarter Agentur als Sysadmin und Entwickler tätig. Ich veröffentliche an dieser Stelle hauptsächlich Sachen die ich im Bereich Linux, Systemadministration und OpenSource interessant finde. Mehr Infos über mich gibts an dieser Stelle
Der Inhalt dieses Blogs ist © Copyright 2004-2010 von Christian Brabandt und Marc Schoechlin. Jegliche Reproduktion und Wiederverwertung nur mit schriftlicher Genehmigung der Autoren.

Kategorien



All categories

Blog abonnieren

Letzte Suche

furzkissen
oracle regexp_like beschreibung
cdspell
exc datei erstellen
katzenkanone

zufälliger Artikel

Weichenstörung Teil 2
Monday, January 23 2006
BLA++
Monday, March 27 2006
im Dunkeln
Tuesday, October 25 2005
IPv6 - Eine Gefahr mit größerem Schadenspotential als die Entdeckung der Kernspaltung
Wednesday, August 3 2011
Gerhard Wisnewski: "Mythos 9/11"
Saturday, February 27 2010
Da geht was...
Friday, April 28 2006
freies Magazin
Wednesday, July 11 2007
der wahre Grund für UTF-8
Thursday, June 29 2006
Was sagt Dein Texteditor über dich aus?
Thursday, August 16 2007
Dateigrößen in Windows
Wednesday, January 30 2008

Getaggte Artikel