Привіт,
У мене на сервері Ubuntu працює сервер підривної роботи. Я запускаю клієнта на одній машині через SSH, і я хотів би, щоб клієнт svn пам’ятав мій пароль, але не зберігав його як відкритий текст. Дивлячись тут, я бачу два методи: gnome-keyring та kwallet. Оскільки я не використовую настільний менеджер, я трохи насторожено намагаюся використовувати один із них. Будь-які пропозиції? Було б нормально (чи навіть працювати) використовувати одне з двох згаданих мною додатків?
ТІА
Відповіді:
Ви можете запустити Gnome-keyring або Kwallet на віддаленій машині. Кожен постачається у двох компонентах, демон і графічний інтерфейс.
Ви можете запустити додаток GUI на віддаленій машині, якщо ви запускаєте ssh з переадресацією X. Тільки тому, що це "серверна" машина не означає, що ви не можете встановити на неї програми GUI. Незалежно від того, використовуєте ви відповідне середовище робочого столу чи ні, програмам не потрібно певного середовища для роботи на робочому столі.
Ви можете керувати Kwallet в командному рядку через qdbus, хоча це не дуже добре в цьому конкретному випадку, оскільки вам доведеться писати свій пароль у чіткому тексті в командному рядку, і це можуть бути відхилені іншими користувачами. Дивіться також цю відповідь SU .
Існує зв'язок пітона як для Gnome-keyring, так і для Kwallet (пакунки python-keyring-gnomeта python-keyring-kwallet); ви можете написати крихітний сценарій пітона для управління ними. Насправді є вже один для Gnome-keyring: gkeyring .
Якщо ваш пароль libpam-keyringвведення ключа такий, як ваш пароль для входу, ви можете встановити його, і ваш брелок буде розблокований автоматично при вході в систему. Однак для цього потрібен вхід із паролем, а не паролем ключів.
Якщо ви локально використовуєте Gnome-keyring або Kwallet, ви можете переслати їх через ssh, доклавши трохи роботи. Вони використовують розетки Unix, які ssh не може переслати. Але ви можете використовувати socatретрансляційні розетки Unix для сокетів TCP локально і навпаки на віддаленій машині:
while true; do socat TCP-LISTEN:22007 UNIX-CONNECT:"$GNOME_KEYRING_SOCKET"; done &
ssh -R22007:localhost:22007 remote.example.com
export GNOME_KEYRING_SOCKET="$HOME/.gnome-keyring-socket"
while true; do socat UNIX-LISTEN:"$GNOME_KEYRING_SOCKET" TCP4:localhost:22007; done &
Це може бути автоматизовано за допомогою невеликих скриптів оболонок з кожної сторони та RemoteForwardрядка в ~/.ssh/config. Теоретично вам слід мати доступ до віддаленої машини gnome keyring. Однак я намагався отримати доступ до нього з морським конем, і він навіть не намагався підключитися до нього $GNOME_KEYRING_SOCKET; Я не знаю, чому, і не знаю, чи змогли б svn отримати доступ до брелоку.
Ви можете зберігати свій svn пароль у зашифрованій файловій системі. Є кілька варіантів ; Я думаю, що найпростіший спосіб піти - це encfs. Початкові налаштування:
sudo aptitude install encfs
encfs ~/.passwords.encrypted ~/.passwords
mv ~/.subversion/auth ~/.passwords/svn-auth
ln -s ../.passwords/svn-auth ~/.subversion/auth
Нормальний робочий процес:
encfs ~/.passwords.encrypted ~/.passwords
... work ...
fusermount -u ~/.passwords
Цей спосіб має перевагу з кількох причин:
~/.subversion/authце звисаюче символічне посилання. У такому випадку субверсія повідомляє вам, що він буде зберігати ваш пароль (якщо ви не вимкнули це повідомлення), але насправді не зберігає його ніде (перевірено svn 1.6.6). Тож немає ризику при третьому підході.
gpg зашифруйте файл із паролем у, - але тоді для цього вам знадобиться парольна фраза (і не втрачайте приватний ключ!).
Я думаю, ви можете перевірити svn приватний ключ, а також вам все одно потрібна парольна фраза, щоб використовувати його, але вся ця настройка здається трохи дивною.
навіщо вам це потрібно?