Re: SSH ohne Passwort

On Tue, Mar 25, 2003 at 12:09:51PM +0100, Reinhard Foerster wrote:

On Tue, 25 Mar 2003 08:34:22 +0100, Thomas Guettler wrote:

...

...

man ssh-agent:

The agent will never send a private key over its request channel. Instead, operations that require a private key will be performed by the agent, and the result will be returned to the requester. This way, pri­ vate keys are not exposed to clients using the agent.

man ssh-agent:

 A unix-domain socket is created and the name of this socket is stored in
 the SSH_AUTH_SOCK environment variable.  The socket is made accessible
 only to the current user.  *This method is easily abused by root or
 another instance of the same user.*

Alle Programme, die unter meiner UID laufen können auf den Private Key zugreifen.

Es ist ein Unterschied, ob über den Socket der key direkt herausgegeben wird (wird er nicht), oder ob man lediglich über den Socket Authentisierungsanfragen an den ssh-agent weiterleiten kann.

OK, jetzt habe ich es kapiert. Den entsprechenden Eintrag in "man ssh-agent" habe ich heute morgen überlesen:

The agent will never send a private key over its request channel. Instead, operations that require a private key will be performed by the agent, and the result will be returned to the requester. This way, pri­ vate keys are not exposed to clients using the agent.

Generell: Wenn du deinen eigenen Prozessen nicht vertraust, kannst du von diesem Rechner aus NIEMALS sicher auf einen anderen Rechner zugreifen.

Ich traue niemanden. Ich dachte bisher jeder meiner Prozesse kann den Private Key per ssh-agent einsehen. Dem würde ich nicht vertrauen. So muss ich legendlich dem ssh-agent vertrauen. Das ist OK.

Gruß,

Thomas