У меня возникла проблема при использовании gpg-agent по ssh через одну командную строку.
Вот моя конфигурация:
Сервер A: запуск команды через ssh.
ssh user@serverB "sudo -E /path/to/script.sh"
Сервер B: Выполнение скрипта, требующего подпись парольной фразы.
Информация о системе: Ubuntu 12.04
Я настроил gpg-agent на сервере B и добавил эту конфигурацию в /home/user/.bashrc:
Invoke GnuPG-Agent the first time we login.
# Does `~/.gpg-agent-info' exist and points to gpg-agent process accepting signals?
if test -f $HOME/.gpg-agent-info && \
kill -0 `cut -d: -f 2 $HOME/.gpg-agent-info` 2>/dev/null; then
GPG_AGENT_INFO=`cat $HOME/.gpg-agent-info | cut -c 16-`
else
# No, gpg-agent not available; start gpg-agent
eval `gpg-agent --daemon --write-env-file $HOME/.gpg-agent-info`
fi
export GPG_TTY=`tty`
export GPG_AGENT_INFO
Вот конфигурация агента в /home/user/.gnupg/gpg-agent.conf:
enable-ssh-support
#1 year cache support
default-cache-ttl 31536000
default-cache-ttl-ssh 31536000
max-cache-ttl 31536000
max-cache-ttl-ssh 31536000
#debug-all
Итак, чтобы это заработало, я подключаюсь к serverB через ssh:
ssh user@serverB
Gpg-agent запущен, я вручную запускаю скрипт:
sudo -E /path/to/script.sh
Затем gpg-agent предлагает мне ввести парольную фразу. После того, как я ее установил, я могу снова запустить скрипт, и он выполнит свою задачу, не запрашивая пароль.
Моя проблема в том, что когда я пытаюсь запустить его дистанционно, например, через:
ssh user@serverB "sudo -E /path/to/script.sh"
Похоже, gpg-agent не работает, потому что скрипт постоянно запрашивает у меня пароль.
Редактировать:
Я добавил следующее содержимое в /etc/sudoers.d/user, чтобы запустить скрипт удаленно без пароля sudo и сохранить переменные окружения:
user ALL=(ALL)NOPASSWD:SETENV:/path/to/script.sh
Есть идеи?
решение1
При входе в систему ssh user@serverBи ручном запуске скрипта в первый раз будет запрошена парольная фраза, а затем при запуске скрипта shh-agent предоставит сохраненную парольную фразу.
Однако при запуске ssh user@serverB "sudo -E /path/to/script.shвы каждый раз выполняете новый вход в систему, и я не думаю, что ssh-agent будет поддерживать сохранение парольной фразы для отдельных входов SSH.
Похоже, что брелок делает то, что вам нужно:http://www.funtoo.org/Связка ключей
С помощью keychain вам нужно будет вводить парольную фразу только один раз при каждой перезагрузке локальной машины. Keychain также позволяет удаленным заданиям cron безопасно «подключаться» к долго работающему процессу ssh-agent, позволяя вашим скриптам использовать преимущества входа на основе ключей.
Текущая версия keychain поддерживает как gpg-agent, так и ssh-agent.