我在通过单个命令行通过 ssh 使用 gpg-agent 时遇到了问题。
这是我的配置:
服务器 A:通过 ssh 触发命令。
ssh user@serverB "sudo -E /path/to/script.sh"
服务器B:执行需要密码签名的脚本。
系统信息:Ubuntu 12.04
我已经在服务器 B 上设置了 gpg-agent,并已将此配置添加到 /home/user/.bashrc :
Invoke GnuPG-Agent the first time we login.
# Does `~/.gpg-agent-info' exist and points to gpg-agent process accepting signals?
if test -f $HOME/.gpg-agent-info && \
kill -0 `cut -d: -f 2 $HOME/.gpg-agent-info` 2>/dev/null; then
GPG_AGENT_INFO=`cat $HOME/.gpg-agent-info | cut -c 16-`
else
# No, gpg-agent not available; start gpg-agent
eval `gpg-agent --daemon --write-env-file $HOME/.gpg-agent-info`
fi
export GPG_TTY=`tty`
export GPG_AGENT_INFO
以下是 /home/user/.gnupg/gpg-agent.conf 中的代理配置:
enable-ssh-support
#1 year cache support
default-cache-ttl 31536000
default-cache-ttl-ssh 31536000
max-cache-ttl 31536000
max-cache-ttl-ssh 31536000
#debug-all
因此,为了使其正常工作,我通过 ssh 连接到 serverB:
ssh user@serverB
gpg-agent 启动后,我手动触发脚本:
sudo -E /path/to/script.sh
然后,gpg-agent 提示我要求输入密码,一旦我设置了密码,我就可以再次运行该脚本,它就会执行其任务而无需输入密码。
我的问题是,当我尝试远程触发它时,例如通过:
ssh user@serverB "sudo -E /path/to/script.sh"
看起来 gpg-agent 不起作用,因为脚本一直要求我输入密码。
编辑:
我已将以下内容添加到 /etc/sudoers.d/user,以便在没有 sudo 密码的情况下远程触发脚本并保留环境变量:
user ALL=(ALL)NOPASSWD:SETENV:/path/to/script.sh
有任何想法吗?
答案1
当您登录然后ssh user@serverB
手动执行脚本时,它会第一次提示您输入密码,然后当您执行脚本时,shh-agent 将提供存储的密码。
但是,当您运行时,ssh user@serverB "sudo -E /path/to/script.sh
每次都会进行一次新登录,并且我认为 ssh-agent 不支持在单独的 SSH 登录中保存密码。
Keychain 似乎可以满足您的要求:http://www.funtoo.org/Keychain
使用 keychain,每次重启本地机器时,您只需输入一次密码。Keychain 还使远程 cron 作业能够安全地“挂接”到长期运行的 ssh-agent 进程,从而使您的脚本能够利用基于密钥的登录。
当前版本的 keychain 支持 gpg-agent 和 ssh-agent。