Muitas chaves sendo adicionadas ao ssh-agent no CentOS6 - como posso parar isso?

3

Eu estava tentando depurar um problema do ssh Too many authentication failures e encontrar com ssh -vv que o ssh está apresentando muitas chaves antes de voltar para tentar uma senha.

Na investigação, descubro que essas chaves são adicionadas de alguma forma com ssh-agent em execução de startx quando o X11 é iniciado.

Eu tenho muitas chaves no meu diretório ~/.ssh para diferentes máquinas, transferidas através de muitas atualizações do sistema ao longo dos anos. Eu nem percebi que ssh-agent estava sendo executado.

Achei que ssh-add , por página do man, adicionaria por padrão apenas id_dsa , id_rsa e identity . Mas, de alguma forma, ele também está adicionando BillBrewer.pub , JanStewer.pub , PeterGurney.pub , PeterDavy.pub , DanlWhiddon , HarryHawke.pub , OldUncleTomCobley.pub e apresentando o lote inteiro em cada sessão de login quando espero dar uma senha. Então o sshd no servidor decide que é suficiente e desconecta.

Como posso controlar esse comportamento? Além de remover minhas chaves públicas extras do meu diretório .ssh e apenas manter as privadas que preciso, mas sempre foi um local conveniente para mantê-las no passado.

Por falar nisso, como posso parar a execução do agente ssh se eu quiser?

Este é um problema de segurança (enviando chaves para servidores que não devem obtê-los)?

Eu percebo que posso substituí-lo em uma base por sessão com -o PreferredAuthentications=password , mas prefiro uma correção sistêmica.

  • mais estranheza: tentei usar ssh-add -D para remover todas as identidades ou ssh-add -d *.pub , mas quando uso ssh-add -l , todas elas ainda estão lá.

CentOS release 6.5, OpenSSH_5.3p1, openssh-clients-5.3p1

    
por Andrew Daviel 06.04.2014 / 02:46

1 resposta

5

Bem, primeiro, as teclas devem identificar o cliente, não o servidor remoto. Assim, você deve ter apenas um número muito pequeno de chaves (como 1).

O utilitário oficial ssh-agent em si só procurará alguns nomes predefinidos ao procurar suas chaves ( ~/.ssh/id_rsa ~/.ssh/id_dsa ~/.ssh/id_ecdsa e ~/.ssh/identity ).
No entanto, existem outros agentes de chave ssh além de ssh-agent . Você provavelmente tem um daemon de chaveiro em execução (como gnome-keyring-daemon ). O daemon do conjunto de chaves provavelmente é iniciado por seu ambiente de desktop por padrão. Vá bisbilhotando nas configurações da sessão do ambiente de área de trabalho para desativá-lo.

Você também pode colocar IdentitiesOnly=yes no seu arquivo ~/.ssh/config , mas não considero essa a resposta "certa".

Em relação ao envio de chaves extras para o servidor. Não, isso não é um risco de segurança.

    
por 06.04.2014 / 03:05

Tags