我有一个 Debian 10 服务器。我想使用 msmtp 发送电子邮件,并且需要缓存 gpg 密钥的密码。 msmtp 所需的 smtp 密码使用此 gpg 密钥加密在文件中。 msmtp将使用gpg解密该文件以获取smtp密码。
此行存在于 /etc/msmtprc 文件中:
passwordeval gpg --no-tty -q -d /etc/.msmtp-password.gpg
我正在尝试使用 gpg-agent 和钥匙串来缓存 gpg 密钥的密码。这样系统就可以发送电子邮件而无需询问密码。
我希望每次启动服务器时我仅提交一次 gpg 密钥的密码,该密钥的密码将被缓存,直到下次重新启动。 (如果我注销并再次登录,则在下次重新启动之前我不需要提交 gpg 密钥的密码)。
我没有成功,因为当我从远程主机(Debian 服务器)注销时,gpg-agent 停止了。如果我通过 SSH 钥匙串建立新连接,则使用新 PID 启动新代理,并且密钥的密码会丢失。
下面您将看到我所做的事情,希望能提供有用的信息。如果你能帮助我,我会很高兴。
我的Linux版本
cat /etc/issue
Debian GNU/Linux 10 \n \l
GP版本
gpg --version
gpg (GnuPG) 2.2.12
libgcrypt 1.8.4
我们创建一个秘密的 gpg 密钥,将询问该密钥的密码
gpg --gen-key
...
Nom réel : [email protected]
Adresse électronique : [email protected]
Vous avez sélectionné cette identité :
« [email protected] <[email protected]> »
...
les clefs publique et secrète ont été créées et signées.
pub rsa3072 2020-10-15 [SC] [expire : 2022-10-15]
3C82AB1E9384F4A92CEBCE7077B1EDA25A942746
uid [email protected] <[email protected]>
sub rsa3072 2020-10-15 [E] [expire : 2022-10-15]
我们检查密钥
gpg --list-secret-keys --with-keygrip
...
sec rsa3072 2020-10-15 [SC] [expire : 2022-10-15]
3C82AB1E9384F4A92CEBCE7077B1EDA25A942746
Keygrip = 47CF9E2C933761CF1021731F72603B8291BB211C
uid [ ultime ] [email protected] <[email protected]>
ssb rsa3072 2020-10-15 [E] [expire : 2022-10-15]
Keygrip = 4133708B3FA225C4732A0F9FBD0053DEF937B46A
我们查看gpg-agent进程的PID
ps aux | grep gpg-agent
root 738 17.1 0.0 81204 3864 ? SLs 16:55 0:04 /usr/bin/gpg-agent --supervised
root 745 0.0 0.0 6092 824 pts/0 S+ 16:56 0:00 grep gpg-agent
我们检查 gpg-agent 已知的密钥
gpg-connect-agent 'keyinfo --list' /bye
S KEYINFO 47CF9E2C933761CF1021731F72603B8291BB211C D - - - P - - -
S KEYINFO 4133708B3FA225C4732A0F9FBD0053DEF937B46A D - - - P - - -
OK
我们检查 gpg-agent 选项
gpgconf --list-options gpg-agent
Monitor:1:0:Options contrôlant la sortie de diagnostique:0:0::::
...
default-cache-ttl:24:0:oublier les codes personnels après N secondes:3:3:N:600::
default-cache-ttl-ssh:24:1:oublier les clefs SSH après N secondes:3:3:N:1800::
max-cache-ttl:24:2:définir la durée maximale du cache de code personnel à N secondes:3:3:N:7200::
max-cache-ttl-ssh:24:2:définir la durée maximale du cache de clef SSH à N secondes:3:3:N:7200::
...
pinentry-timeout:24:1:set the Pinentry timeout to N seconds:3:3:N:0::
default-cache-ttl 和 max-cache-ttl 太低,gpg-agent 只会缓存密码 10 分钟。如果您打算使用钥匙串,这段时间太短了。我们还可以添加一个日志文件。可以通过添加 gpg-agent.conf 文件来更改默认选项。
cat ~/.gnupg/gpg-agent.conf
default-cache-ttl 31536000
max-cache-ttl 31536000
log-file /var/log/gpg-agent
debug-level basic
我们检查是否添加了新的 gpg-agent 选项
gpgconf --list-options gpg-agent
Monitor:1:0:Options contrôlant la sortie de diagnostique:0:0::::
...
default-cache-ttl:24:0:oublier les codes personnels après N secondes:3:3:N:600::31536000
default-cache-ttl-ssh:24:1:oublier les clefs SSH après N secondes:3:3:N:1800::
max-cache-ttl:24:2:définir la durée maximale du cache de code personnel à N secondes:3:3:N:7200::31536000
max-cache-ttl-ssh:24:2:définir la durée maximale du cache de clef SSH à N secondes:3:3:N:7200::
...
pinentry-timeout:24:1:set the Pinentry timeout to N seconds:3:3:N:0::
我们重新加载 gpg-agent 配置以激活新选项
gpg-connect-agent reloadagent /bye
OK
知道我们安装钥匙扣
apt install -y keychain
钥匙扣版本
keychain -V
* keychain 2.8.5 ~ http://www.funtoo.org
我们使用钥匙串缓存解密的 GPG 密钥
keychain --eval --agents gpg 3C82AB1E9384F4A92CEBCE7077B1EDA25A942746
* keychain 2.8.5 ~ http://www.funtoo.org
* Inheriting gpg-agent (738)
GPG_AGENT_INFO=/run/user/0/gnupg/S.gpg-agent:738:1; export GPG_AGENT_INFO;
* Adding 1 gpg key(s): 3C82AB1E9384F4A92CEBCE7077B1EDA25A942746
因为我们输入了密码,所以解密的 GPG 密钥现在由 gpg-agent 缓存(看 1)
gpg-connect-agent 'keyinfo --list' /bye
S KEYINFO 47CF9E2C933761CF1021731F72603B8291BB211C D - - 1 P - - -
S KEYINFO 4133708B3FA225C4732A0F9FBD0053DEF937B46A D - - - P - - -
OK
我们修改.bashrc文件。下次登录时钥匙串将找到由 gpg-agent 缓存的解密的 GPG 密钥。下次重新启动时,钥匙串将询问一次密钥的密码,直到下次重新启动为止
cat ~/.bashrc
...
# Note: PS1 and umask are already set in /etc/profile. You should not
# need this unless you want different defaults for root.
# PS1='${debian_chroot:+($debian_chroot)}\h:\w\$ '
# umask 022
...
eval $(keychain --agents gpg)
为了检查default-cache-ttl和max-cache-ttl,我们等待700秒,超过gpg-agent默认配置
jeudi 15 octobre 2020, 16:56:32 (UTC+0200)
jeudi 15 octobre 2020, 17:08:12 (UTC+0200)
我们检查 gpg-agent 已知的密钥,解密的 GPG 密钥仍然由 gpg-agent 缓存(看 1)
gpg-connect-agent 'keyinfo --list' /bye
S KEYINFO 47CF9E2C933761CF1021731F72603B8291BB211C D - - 1 P - - -
S KEYINFO 4133708B3FA225C4732A0F9FBD0053DEF937B46A D - - - P - - -
OK
我们创建一个文件并使用密钥对其进行加密(加密不需要密码)
touch file.txt && gpg -e -r [email protected] file.txt
我们解密该文件。不需要密码,因为解密的 GPG 密钥在 700 秒后仍由 gpg-agent 缓存
gpg --decrypt file.txt.gpg > file.txt
gpg: chiffré avec une clef RSA de 3072 bits, identifiant 4E40A1918B514393, créée le 2020-10-15
« [email protected] <[email protected]> »
我们注销并再次登录通过 ssh 到远程主机。在新登录时,钥匙串找不到带有缓存密钥的先前 gpg-agent。然后钥匙串启动一个新的 gpg-agent 但缓存的密钥丢失了......
* keychain 2.8.5 ~ http://www.funtoo.org
* Starting gpg-agent...
问候
答案1
最终我找到了解决方案。
gpg-agent 在从 bash 会话注销后关闭,因为它处于监督模式。
查看文件:
/usr/share/doc/gpg-agent/README.Debian
系统=======
自 2.1.17 起,具有 systemd 的计算机上的用户将在首次访问任何预期的 gpg-agent 套接字(包括 ssh 套接字)时,由 systemd 的用户会话自动启动其 gpg-agent 进程。 systemd 还将在会话注销时彻底终止此进程。
所以我们需要启动 gpg-agent守护进程模式在会话中保持 gpg-agent 的 PID 相同。
在执行此操作之前,我们需要从 systemd 中“屏蔽”gpg-agent
systemctl --user mask --now gpg-agent.service gpg-agent.socket gpg-agent-ssh.socket gpg-agent-extra.socket gpg-agent-browser.socket
这可以通过“unmask”选项撤消(请参阅 README.Debian 文件)。
下次请求 gpg-agent 时(例如,创建密钥或使用钥匙串时),它将以守护进程模式启动并跨会话运行。
ps aux | grep gpg-agent
root 816 0.2 0.0 81356 3624 ? Ss 17:19 0:04 gpg-agent
--homedir /root/.gnupg --use-standard-socket --daemon
在 .bashrc 文件中只需添加:
eval $(keychain --eval --agents gpg secretkey)
注销后,如果您再次登录,钥匙串会找到正确的 gpg-agent(查看 PID),不会询问密码。
keychain 2.8.5 ~ http://www.funtoo.org
Found existing gpg-agent: 816
Known gpg key: 677AAEB080C1045F3D3D3532B5AE92F1F49350D1
并且您仍然可以在没有密码的情况下解密文件
gpg --decrypt file.txt.gpg > file.txt
gpg: chiffré avec une clef RSA de 3072 bits, identifiant F1B9BB72AAECF1C7,
créée le 2020-10-16
« [email protected] <[email protected]> »
希望这有帮助。