我已经创建了一个受密码保护的 RSA 密钥,以使用基于密钥的身份验证通过 ssh 访问我的远程服务器,并使用 将其添加到 seahorse ssh-add。
我想防止海马在每次登录时询问我密码。
有什么方法可以禁用此功能?或者永久进入?或者永久授予某位用户受信任的访问权限?
答案1
启动 Seahorse,找到您的“登录”加密密钥,然后右键单击“密码:登录”并选择“更改密码”。
输入旧密码,然后点击“确定”按钮,将新密码和确认框留空。系统将提示您“存储不安全”。确认后,当您登录计算机时,您的密钥环将自动解锁。
请注意,这确实是“不安全的”,仅当您加密主驱动器时才应使用,否则丢失笔记本电脑就等于打开它可以访问的所有内容 - 这可能包括您的 Gmail 密码(如果您使用 Gmail 检查器)、您的 WIFI 密码(如果您连接到 WIFI)、IM 密码等。看起来 Chromium 也开始使用它进行存储,因为我的密钥环中似乎记录了很多特定于站点的内容。
我个人也在设置完所有设置后卸载了 Seahorse,这样如果我忘记锁定我的笔记本电脑,就不会那么容易以明文形式看到我的所有密码!
请小心不安全的存储。
答案2
这是一个简单的解决方案,对我来说在 Ubuntu 18.04 LTS 上非常有效:
在自动启动小程序(“启动应用程序”又名 gnome-session-properties)中禁用“SSH 密钥代理”:
背景信息:该问题是由于密钥管理器引起的gnome-keyring-守护进程其中 seahorse 只是图形用户界面。守护进程在用户登录时加载 ssh 密钥代理。因此,通过禁用 SSH 密钥代理小程序,守护进程将停止管理存储在 中的 SSH 密钥~/.ssh/。更多详细信息可在gnome-keyring-daemon wiki 的 SSH 部分
答案3
我知道这是一个老问题,但我在尝试自己做这件事时找到了自己的方法,并且这似乎可以解决问题:
$ <seahorse_ssh-askpass> <key_path>
您要确保使用ssh-askpass与 Seahorse 相关的,并且它可能不在每个系统上的相同位置,但就我的情况(Ubuntu 20.10)而言,它如下:
$ /usr/libexec/seahorse/ssh-askpass <key_path>
如果此可执行文件位置在您的系统上不起作用,您可以尝试以下操作:
$ locate ssh-askpass | grep seahorse
这将列出ssh-askpass名称和seahorse路径中包含的所有文件和目录。(您可能需要安装并设置mlocate在您运行此命令之前,请先在系统上进行操作。
SSH 密钥的最常见路径是~/.ssh/id_rsa,但您可以在 Seahorse GUI 中检查是否是其他路径。就我而言,我使用了以下命令:
$ /usr/libexec/seahorse/ssh-askpass ~/.ssh/alpha_rsa
如果成功执行该命令,它将弹出一个对话框,列出 SSH 密钥的名称并要求输入密码。在我的情况下,我得到了Vala 错误说它无法抓取键盘,并且我输入的密码被打印到终端,但是当我的 GNOME 密钥环解锁时,这个命令似乎成功地使那个特定的 SSH 密钥自动解锁。
编辑:似乎更重要的事情是进入 Seahorse GUI,单击 OpenSSH 密钥,右键单击相关密钥,选择“配置安全 Shell 密钥...”,然后添加要使用该密钥的每个服务器和用户名。我今天早些时候(在运行之前ssh-askpass)做过这件事,但完全忘记了。奇怪的是,这个过程的这一部分似乎没有提示输入密码。
另外,如果您不想让这成为一个明显的安全漏洞,那么值得确保您的 GNOME Keyring 不会在您打开计算机时自动解锁而无需密码。就我而言,我有一个 YubiKey,我必须在 Linux 启动之前输入密码。您还需要确保您的计算机在您不使用时自动锁定。但假设您必须输入密码才能启动或登录并解锁计算机(即从睡眠状态唤醒计算机),则保存在 GNOME Keyring 中的任何 SSH 密码都应该与 GNOME Keyring 中的任何其他内容一样安全。
答案4
任何阻止 Seahorse 询问密码的解决方案都需要将密码写入硬盘(或其他东西)。这意味着任何窃取您计算机的人都可以登录(因为密码也保存在某个地方)。这几乎与一开始就没有密码相同。
简而言之,只需删除密码即可。密码的意义在于,如果有人访问了您的机器并窃取了密钥,您就有时间(在他们暴力破解密码之前)在您使用它的任何机器上使密钥无效。删除密码不会降低密钥本身的安全性。