SSH Agent mit Bestätigung?

[TCM]

Da hier evtl. die bessere Zielgruppe ist:

http://www.hardwareluxx.de/community/f20/ssh-agent-mit-bestaetigung-941176.html

 

[GrafikTreiber]

Vielleicht nicht genau was du suchst, aber zu mindestens schon mal ein besserer SSH-Client mit besserem Keymanagment:
NetSarang - Xshell 4 Overview
Der Client hat Tabs. Zusammen mit XFTP kann man direkt aus einer SSH-Session ohne weitere Klickerei eine SFTP/SCP-Session öffnen, praktisch. Und gibt noch vieles mehr was nützlich ist, zu viel um es hier aufzuzählen.

 

[TCM]

Den habe ich schon durch. Sobald ein Key im Agent ist, kann jeder den benutzen. Nicht gut.

Ich glaube, da war es sogar so, dass Login per Agent automatisch den Agent forwardet. No-go.

 

[GrafikTreiber]

Wie willst du Keys ohne Passwort denn überhaupt vor "kann jeder benutzen" schützen? Anders ist es gar nicht möglich anderen Leuten zu verbieten einen Key zu benutzen. Was meinst du denn genau? http://www.unixwiz.net/techtips/ssh-agent-forwarding.html#fwd
Bei Xshell kannst du auswählen ob und welchen Key zu verwenden willst, jedes mal.

 

[TCM]

Während der Key im Agent "freigeschaltet" ist, kann jeder mit Zugriff auf die Agent-Verbindung den Key benutzen.

Wenn man auf einen Server mit Agent-Forwarding einloggt, wo root warum auch immer feindlich ist, kann dieser alle Keys benutzen. Ohne Abfrage merkt man davon nichts.

Edit: Steht sogar in deinem URL drin. "Security Issues With Key Agents"

 

[GrafikTreiber]

Ja, deshalb hatte ich es ja auch verlinkt und fragte was du genau meinst. Aber das liegt an der Natur der Dinge, daran kannst du nichts ändern, nur die Funktionalität komplett deaktivieren, da hilft auch ein "spezieller SSH-Client" nichts.

There is no technical method which will prevent a root user from hijacking an SSH agent socket if he has the ability to access it, so this suggests that agent forwarding might not be such a good idea when the remote system cannot be entirely trusted. All ssh clients provide a method to disable agent forwarding.

Unter XShell kannst du den ssh-agent-server konfigurieren indem du auf Tools ---> Launch Xagent gehst.

 

[TCM]

Ja, deshalb hatte ich es ja auch verlinkt und fragte was du genau meinst. Aber das liegt an der Natur der Dinge, daran kannst du nichts ändern, nur die Funktionalität komplett deaktivieren, da hilft auch ein "spezieller SSH-Client" nichts.

Äh, doch. Den Agent bei einem Key-Request ein Fenster aufpoppen lassen; das Thema des Threads.

Jeder Key-Request landet schließlich beim Agent auf dem Client. Eigtl. ist es trivial, sowas zu implementieren. Deswegen wundert mich, warum es keiner macht.

Edit: Ein reiner UNIX-Agent unterstützt das sogar. Google SSH_ASKPASS und ssh-add -c. Ich brauchs für Windows.

 

[GrafikTreiber]

Keychain oder ssh-add direkt unter cygwin wären sonst noch eine Möglichkeit, allerdings relativ unkomfortabel. Ansonsten mal im Supportforum von Xshell nachfragen ob sie so etwas mal implementieren würden. Die sind eigentlich immer recht offen für Vorschläge.

 

[TCM]

Ich bin mittlerweile bei cygwin+rxvt mit einem rudimentären Windows-Programm, was einfach Ja/Nein abfragt und 0/1 als return code liefert.

 

[TCM]

Mangels Plan in VisualBasic zusammengeklickert:

    Module Module1
        Function Main(ByVal cmdArgs() As String) As Integer
            Dim btn As Integer
            Dim exitCode As Integer = 1
            If cmdArgs.Length > 0 Then
                btn = CreateObject("WScript.Shell").Popup(cmdArgs(0), 10, "win-ssh-askpass", vbOKCancel + vbQuestion + vbSystemModal)
                Select Case btn
                    Case vbOK
                        exitCode = 0
                End Select
            Else
                ' key requester goes here
                exitCode = 0
            End If
            Return exitCode
        End Function
    End Module

Theoretisch wird das auch zur Key-Abfrage benutzt, der Teil ist aber nicht implementiert, weil ichs nicht brauch.