ssh_config 主机 * 覆盖之前的主机

ssh_config 主机 * 覆盖之前的主机

我试图让我的 .ssh/config 支持同一主机的不同 ssh 密钥,以便我可以作为我的个人或工作用户提交到 bitbucket,而其他 ssh 内容仍然使用我的工作用户。

我的配置文件如下所示:

Host bitbucket-personal
 HostName bitbucket.com
 User git
 IdentityFile ~/.ssh/personal
 IdentitiesOnly yes

Host *
 AddKeysToAgent yes
 UseKeychain yes
 IdentityFile ~/.ssh/work

当我ssh bitbucket-personal使用的~/.ssh/work密钥不是我所期望的(参见下面的文档,它应该使用第一个匹配的 IdentityFile)。但所有其他参数都被正确引用(例如[电子邮件受保护])。如果我删除 Host * 部分,它将使用正确的密钥。

我究竟做错了什么?我猜我误解了这里的优先级是如何工作的。

对于每个参数,将使用第一个获得的值。配置文件包含由“主机”规范分隔的部分,并且该部分仅适用于与规范中给出的模式之一匹配的主机。匹配的主机名是命令行上给出的主机名。

由于使用每个参数的第一个获得的值,因此应在文件开头附近给出更多特定于主机的声明,并在末尾给出一般默认值。

下面是完整详细的跟踪:

luke$ ssh -v bitbucket-personal
OpenSSH_7.8p1, LibreSSL 2.7.3
debug1: Reading configuration data /Users/luke/.ssh/config
debug1: /Users/luke/.ssh/config line 1: Applying options for bitbucket-personal
debug1: /Users/luke/.ssh/config line 7: Applying options for *
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 48: Applying options for *
debug1: Connecting to bitbucket.com port 22.
debug1: Connection established.
debug1: identity file /Users/luke/.ssh/luke type 0
debug1: identity file /Users/luke/.ssh/luke-cert type -1
debug1: identity file /Users/luke/.ssh/luke-cx type 0
debug1: identity file /Users/luke/.ssh/luke-cx-cert type -1
debug1: Local version string SSH-2.0-OpenSSH_7.8
debug1: Remote protocol version 2.0, remote software version conker_1.1.15-49a70a8 app-154
debug1: no match: conker_1.1.15-49a70a8 app-154
debug1: Authenticating to bitbucket.com:22 as 'git'
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: algorithm: [email protected]
debug1: kex: host key algorithm: ssh-rsa
debug1: kex: server->client cipher: [email protected] MAC: <implicit> compression: none
debug1: kex: client->server cipher: [email protected] MAC: <implicit> compression: none
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server host key: ssh-rsa SHA256:qqq
debug1: Host 'bitbucket.com' is known and matches the RSA host key.
debug1: Found key in /Users/luke/.ssh/known_hosts:52
debug1: rekey after 134217728 blocks
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: rekey after 134217728 blocks
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey
debug1: Next authentication method: publickey
debug1: Offering public key: RSA SHA256:qqqq /Users/luke/.ssh/luke-cx
debug1: Server accepts key: pkalg ssh-rsa blen 535
debug1: Authentication succeeded (publickey).
Authenticated to bitbucket.com ([18.205.93.3]:22).
debug1: channel 0: new [client-session]
debug1: Entering interactive session.
debug1: pledge: network
debug1: Sending environment.
debug1: Sending env LANG = en_NZ.UTF-8
PTY allocation request failed on channel 0
debug1: client_input_channel_req: channel 0 rtype exit-status reply 0
logged in as lukemcgregor-x.

答案1

我最近刚刚遇到同样的问题。 SSH 主机配置允许排除,因此这将执行您想要的操作(除了 bitbucket.com 别名之外,每个都使用一个身份文件)

Host bitbucket-personal
 HostName bitbucket.com
 User git
 IdentityFile ~/.ssh/personal
 IdentitiesOnly yes

Host * !bitbucket-personal
 AddKeysToAgent yes
 UseKeychain yes
 IdentityFile ~/.ssh/work

ssh_config(对于某些版本)的手册页表示使用第一个值集,这似乎意味着原始配置应该有效。但我发现这种排除是必要的(对于 OSX 上的 ssh,ssh -V OpenSSH_8.1p1, LibreSSL 2.7.3

答案2

我假设您正在使用 ssh-agent 或类似的东西来缓存解密的私钥,这可能会改变提供密钥的顺序。这在更详细的日志级别(具有多个-v)中可见。

此外,该IdentitiesOnly选项的含义与您想象的略有不同 - 它将限制将提供给服务器的密钥,但不将其限制为该选项之前的密钥。它主要用于避免在自动加载的默认位置提供身份 ( ~/.ssh/id_{rsa,dsa,ecdsa,ed25519})。

IdentitiyFile选项也与您假设的略有不同。允许多次指定(请参阅手册页),因此也Match *将使用第 1 节中的那个。

如果您想默认使用某个密钥,而其他密钥仅用于该特定主机,请将“默认”密钥移至默认位置~/.ssh/id_rsa并将其从配置文件中删除。它应该可以解决你的问题。

相关内容