socat を使用して ssh-agent ソケットを chroot に転送できますか?

SSH エージェントを chroot に転送することはできますが、いくつかの手順を踏む必要があります。最初の手順は、chroot 内でソケットにアクセスできるようにすることです。2 番目の手順は、chroot 内のユーザーにその旨を通知することです。

ソケットを使用できるようにするには、権限が適切に設定されている限り、OP の提案を使用するのが効果的ですsocat。chroot を起動するスクリプトを使用していると仮定すると、次のスニペットを使用してsocatchroot でエージェント ソケットを提供します。

# Set up a SSH AGENT forward socket
if [ -n "$SSH_AUTH_SOCK" ]
then
  _dir="$mnt$(dirname $SSH_AUTH_SOCK)"
  _owner=$(awk -F':' '{if ($1=="alice") {print $3":"$4}}' $mnt/etc/passwd)
  mkdir "$_dir"
  chown "$_owner" "$_dir"
  socat UNIX-CONNECT:$SSH_AUTH_SOCK \
        UNIX-LISTEN:$mnt$SSH_AUTH_SOCK,fork,user=${_owner%:*} &
  socat_pid=$!
  export SSH_AUTH_SOCK
fi

ユーザーのuid（gidアリスchroot 内のディレクトリ (この例では) からエージェントにアクセスできるはずです。次に、そのディレクトリを作成し、socatOP とほぼ同じ方法で を確立します。追加されているのは、user=${_owner%:*}chroot 内のソケットに uid を設定する pirceです。アリスアクセスできます。

次に、socatchroot の終了時に PID を破棄できるように PID を記憶します。最後に、SSH_AUTH_SOCK変数をエクスポートして、chroot 内で使用できるようにします。

---

現在、chrootは によってのみ実行できるのでroot、スクリプトはsudoエージェント プロセスを所有する通常のユーザーから によって実行されると推測します。これが正確であれば、もう 1 つ行うべきことは、sudoスクリプトに環境変数を渡すことを許可することです。これを行うには、 を編集し/etc sudoers(承認されたメカニズムは ですsudo visudo)、以下を追加します。

Defaults env_keep+=SSH_AUTH_SOCK

がchroot 内で使用される場合 (つまり、 から に切り替える場合) 、この変更は/etc/sudoerschroot 内でも行う必要があります。sudorootalice

以下は、通常のユーザーから見た chroot 内のエージェント ソケットの例です。

$ ls -l $SSH_AUTH_SOCK
srwxr-xr-x 1 alice root 0 Feb  1 15:06 /tmp/ssh-q1ntaubl6I2z/agent.1443