Faça com que o SSH / gpg-agent não peça passphrase para a chave que não vai usar

2

Eu tenho duas chaves SSH. id_rsa é a minha normal com uma frase secreta, e id_lynx não tem senha porque eu quero que seja utilizável em uma tarefa cron (o usuário faz login como é bastante restrito, não se preocupe com isso), especificamente git sincronização. Para esses git push e pulls em segundo plano, configurei uma entrada de host SSH no meu ~/.ssh/config que especifica id_lynx como IdentityFile . Além disso, o Xfce inicializa gpg-agent com suporte a ssh-agent.

Agora, quando tento conectar-me via SSH usando esse host, que se preocupa apenas com id_lynx , recebo um pop-up de pinentry de gpg-agent solicitando a senha de id_rsa . Se eu apertar o botão cancelar, a conexão prossegue bem (como deveria), mas esta obviamente não é uma boa solução final, especialmente para uso em uma tarefa cron.

Se eu matar gpg-agent , tudo funciona como esperado, mas gosto de ter a implementação gráfica do ssh-agent, exceto por esse problema.

Então, como posso impedir que o SSH e o gpg-agent tentem obter a frase secreta para uma chave que não vai usar?

Obrigado.

    
por Andrew Fleenor 29.06.2014 / 09:16

1 resposta

2

Tente usar ssh -v (ou -vvv) e observe a ordem em que as chaves ssh foram tentadas. Se id_rsa vem primeiro algo deu errado com seu ssh_config.

Tente usar ssh -i / caminho / para / id_lynx Se isso funcionar, verifique seu ssh_config para

IdentityFile < - deve ser um caminho totalmente especificado,

IdentitiesOnly yes

man 5 ssh_config diz:

   IdentitiesOnly
         Specifies that ssh(1) should only use the authentication identity
         files configured in the ssh_config files, even if ssh-agent(1) or
         a PKCS11Provider offers more identities.  The argument to this
         keyword must be ''yes'' or ''no''.  This option is intended for
         situations where ssh-agent offers many different identities.  The
         default is ''no''.

Isso deve fazer o truque. Se não, investigue a saída de ssh -vvv se seu ssh_config for usado.

    
por 29.06.2014 / 12:07

Tags