Як прив'язати ssh-agent до блокування входу до Windows?

8

Чи можна якось автоматично розблокувати мої особисті ключі для SSH аутентифікації на вході у Windows і (не) заблокувати їх, коли (не) блокування моєї сесії?

В даний час я використовую mssh 'ssh-agent, але можу зображення використовувати, наприклад, шарада як обгортка конкурсу putty, теж, якщо краще рішення для цього вже існує.

windows-7  ssh  login  ssh-agent 
Tobias Kienzler
джерело
2
Я просто маю ключ без пароля, зашифрований з EFS, який є прозорим для ssh-agent, тому ключ може бути завантажений автоматично, залишаючись безпечним.
grawity
@grawity: спасибі, це ще простіше! якщо ви відправите це як відповідь, я прийму його редагувати виправлення, я не можу, тому що мій адміністратор не встановив EFS належним чином :(
Tobias Kienzler
У домені Active Directory? (Якщо у вас немає сертифіката, cipher /k слід створити новий, хоча він і буде підписаний.)
grawity
@grawity: спасибі. Я спробував, але нічого не змінилося. Я почав нове питання для цієї проблеми: Неможливо зашифрувати файли (за допомогою EFS) на домені
Tobias Kienzler

Відповіді:

1

Зернистість просто є ключ без пароля, зашифрований з EFS, який є прозорим для ssh-agent, тому ключ може бути завантажений автоматично, залишаючись безпечним. Він також пропонує наступне для Active Directory: Якщо у вас немає сертифіката, cipher /k слід створити новий, хоча він і буде підписаний.

Tom Wijsman
джерело
це в принципі гарна ідея, але, як згадувалося, шифрування файлів не працює. cipher /k працює нормально, але я все ще отримую "Політику відновлення, налаштовану для цієї системи містить недійсний сертифікат відновлення", але це виправлення (див тут ) вимагає привілеїв адміністратора ... Я думаю, я буду дотримуватися сплячого режиму або незашифрованого ключа без пароля
Tobias Kienzler
@Tobias: Що ви маєте на увазі? У вас немає прав адміністратора? Ви повинні використовувати їх або попросити системного адміністратора зробити це за вас. Якщо ви не маєте жодного способу отримати доступ до облікового запису адміністратора, спробуйте переінсталювати, якщо це ваша особиста ОС, або перестаньте намагатися, якщо це корпоративна ОС. Можливо, розглянути можливість використання рішення на основі Windows, наприклад, служб терміналів ...
Tom Wijsman
він працює, а наш адміністратор (який не надає адміністративним правам нікому) достатньо зайнятий, підтримуючи наш кластер у порівнянні з цією проблемою.
Tobias Kienzler
1

Можливо, ви зможете відновити стан розблокованих закритих ключів зимовий процес у стані, що приватні ключі розблоковані; потім, кожен раз, коли ви цього потребуєте, ви можете запустити сплячий стан, який ви захопили вперше. Технічно це може працювати ...

Якщо ні, спробуйте встановити сценарій ( AutoIt на основі, можливо, робити те, що ви робите вручну.

Tom Wijsman
джерело
Мені не подобається ідея розміщення пароля в скрипті, тоді я вважаю за краще нешифрований ключ без пароля. Але сплячка хороша ідея, я міг би просто перейти в сплячий режим, замість того, щоб вимкнути його, який повинен зберігати екземпляр ssh-agent.exe
Tobias Kienzler
1
@Tobias: Справа в тому, що ви просите, по суті, прив'язуєте блокування вашого агента SSH до вашої Windows Логін; Єдиний спосіб зробити це можна за допомогою сценаріїв планувальника завдань для подій входу, блокування та виходу з системи. Ви можете зробити скрипт доступним для читання користувачем, налаштованим у диспетчері завдань, і ви зможете зберігати пароль зашифрованим способом і розшифровувати його, коли це потрібно. Єдине, що залишилося тут, це хтось краде ваш жорсткий диск, але саме тому EFS і TrueCrypt були винайдені. Ви або введіть пароль, або ви зробите це автоматично, зберігаючи його десь ...
Tom Wijsman
1
це правда. Я прийму відповідь EFS вашого / grawity, оскільки це рішення я б використав, якщо він працював. Насправді я вважаю, просто використовуючи нешифрований ключовий файл (з ексклюзивними дозволами), оскільки кожен, хто здатний до доступу до відповідного жорсткого диска, буде в тій же кімнаті, що і машина, яку я ssh в будь-якому випадку: - / спасибі за ваші відповіді!
Tobias Kienzler
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.