[1]には既存の機能に関する簡単な議論がありssh-agent -t、2001年初めにdebian-devel [2]に非アクティブタイムアウト機能を望む記事がありました。 SE[3]には、美人コンテストについて同様の議論があります。
私は惑星の残りの部分がSSH鍵をどのように保護するのか疑問に思います。他の人ではなく、私に迷惑な明白なことを私が逃しているのでしょうか?特に私はAnsibleのようなスクリプト化されたSSHインタラクションについて考えています。今日のあなたの選択は次のとおりです。
- エージェントのキー寿命を心配するのに長い時間に設定します。スクリプトの最大実行時間は約1時間程度です(多くの人がsudoの再認証タイムアウトを長く許可するかどうか疑問です!) - しかし
seahorse/gnome-keyring-daemonその程度はほとんどサポートされていません[4] - 長い間実行されるスクリプトを管理し、5/10/15分ごとにパスワードを再入力してください。これで、1日に20回パスワードを再入力するのが簡単に表示されます。
- この欠けている機能を模倣するために、独自のホームブレンドソリューションをハッキングし、おそらくシェルの
TMOUTシェルvarと組み合わせることができます(提案を与えたfreenode #openssh IRCの人々に感謝します) - キーライフサイクルがまったく設定されていません。つまり、エージェントはキーを永久にロードするか、ユーザーがシャットダウン/再起動するまでロードします。
認証する役割の種類ごとに短いSSHエージェントタイムアウト、強力なパスワード、および異なるキーファイルを使用している場合は、非常に残念な一日になる可能性があります。
gpgkey2sshとスマートカードを試してみましたが、この特定の問題は実際には解決されませんでした。それでもssh-agent機能が必要で、コンピュータの動作中に秘密鍵が公開されるのを防ぐために5分ごとに再認証したくありません。メモリ内のアイドル状態です。
私は何が間違っていましたか?
[2]https://lists.debian.org/debian-devel/2001/09/msg00851.html
[サム]https://serverfault.com/questions/518312/putty-pageant-forget-keys-after-期間-of-inactivity
[4]https://bugs.launchpad.net/ubuntu/+source/gnome-keyring/+bug/129231
ベストアンサー1
これが心配な場合は、xscreensaver-command -watch画面がロックされている間にインターフェースを簡単に実行できます。ssh-add -D非常に簡単な例については、マニュアルページを確認してください。