ssh-agentにsudoなどの非アクティブ/アイドルタイムアウト機能がない技術的な理由はありますか?

ssh-agentにsudoなどの非アクティブ/アイドルタイムアウト機能がない技術的な理由はありますか?

[1]には既存の機能に関する簡単な議論がありssh-agent -t、2001年初めにdebian-devel [2]に非アクティブタイムアウト機能を望む記事がありました。 SE[3]には、美人コンテストについて同様の議論があります。

私は惑星の残りの部分がSSH鍵をどのように保護するのか疑問に思います。他の人ではなく、私に迷惑な明白なことを私が逃しているのでしょうか?特に私はAnsibleのようなスクリプト化されたSSHインタラクションについて考えています。今日のあなたの選択は次のとおりです。

  • エージェントのキー寿命を心配するのに長い時間に設定します。スクリプトの最大実行時間は約1時間程度です(多くの人がsudoの再認証タイムアウトを長く許可するかどうか疑問です!) - しかしseahorse/gnome-keyring-daemonその程度はほとんどサポートされていません[4]
  • 長い間実行されるスクリプトを管理し、5/10/15分ごとにパスワードを再入力してください。これで、1日に20回パスワードを再入力するのが簡単に表示されます。
  • この欠けている機能を模倣するために、独自のホームブレンドソリューションをハッキングし、おそらくシェルのTMOUTシェルvarと組み合わせることができます(提案を与えたfreenode #openssh IRCの人々に感謝します)
  • キーライフサイクルがまったく設定されていません。つまり、エージェントはキーを永久にロードするか、ユーザーがシャットダウン/再起動するまでロードします。

認証する役割の種類ごとに短いSSHエージェントタイムアウト、強力なパスワード、および異なるキーファイルを使用している場合は、非常に残念な一日になる可能性があります。

gpgkey2sshとスマートカードを試してみましたが、この特定の問題は実際には解決されませんでした。それでもssh-agent機能が必要で、コンピュータの動作中に秘密鍵が公開されるのを防ぐために5分ごとに再認証したくありません。メモリ内のアイドル状態です。

私は何が間違っていましたか?

[1]SSHエージェントのデフォルトタイムアウトの設定

[2]https://lists.debian.org/debian-devel/2001/09/msg00851.html

[サム]https://serverfault.com/questions/518312/putty-pageant-forget-keys-after-期間-of-inactivity

[4]https://bugs.launchpad.net/ubuntu/+source/gnome-keyring/+bug/129231

答え1

これが心配な場合は、xscreensaver-command -watch画面がロックされている間にインターフェースを簡単に実行できます。ssh-add -D非常に簡単な例については、マニュアルページを確認してください。

関連情報