ssh-agent: не пересилайте автентифікацію для всього брелока

10

У мене є два приватні ключі ssh:

один для доступу до моїх персональних машин,
один для доступу до серверів на моїй роботі .

Ці два ключі я додаю до свого ssh-агента ssh-add.

Тепер, коли я це роблю, ssh -A root@jobsrvя хотів би переслати аутентифікацію агента тільки для мого ключа роботи (того, з яким я використовую для з'єднання jobsrv).

Я хочу цього, тому що кожен, хто має кореневий доступ, jobsrvможе використовувати мій агент для аутентифікації себе на моїх персональних машинах.

Чи є спосіб досягти цієї ізоляції?

ssh security ssh-agent

— Тотор
джерело

ви перевірили опцію -i на сторінці man із ssh?

— Людина

1

@Stillakid так, ssh -A -i myjobkey_rsa root@jobsrvвсе ще дозволяє машині jobsrv отримати доступ до мого агента локальної машини та пройти автентифікацію на моєму персональному сервері за допомогою іншого (персонального) ключа ...

— Totor

також перевірив ssh-keyign?

— Людина

2

Для того, щоб змусити ssh(1)використовувати певний ключ, навіть якщо ssh-agent(1)пропонується декілька, використовуйте IdentityFileі IdentitiesOnlyдирективу в ~/.ssh/config, наприклад:

Host example.com
    IdentityFile ~/.ssh/keys/special.pem
    IdentitiesOnly yes

Детальніше ssh_config(5)дивіться.

— mjhennig
джерело

Це не працює . IdentitiesOnlyзастосовується при спробі підключення до віддаленого сервера. Після підключення, якщо -Aввімкнено переадресацію агента, передається вся введення ключів.

— Тотор

Брелок не пересилається. Саме запит на аутентифікацію передається в .

— Багамат

@bahamat Звичайно, моя помилка. Все-таки це рішення не працює.

— Тотор

2

На жаль, я вважаю , що це не можливо , для того щоб досягти цього легко зараз . Можна було використовувати два агенти (по одному для кожної клавіші), щоб не було агента, що тримав усі клавіші. Але це було б досить громіздко.

Ось чому було відкрито звіт про помилку (удосконалення). Є і подібний звіт .

— Тотор
джерело