Как использовать Mac OS X Keychain с ключами SSH?

Я понимаю, что, поскольку Mac OS X Leopard связка ключей поддерживает хранение ключей SSH. Может кто-нибудь объяснить, как эта функция должна работать.

У меня есть несколько сгенерированных ключей RSA, которые хранятся в моем каталоге ~ / .ssh для доступа к различным серверам. У меня не установлены парольные фразы на этих клавишах. В настоящее время для входа на эти серверы я использую следующие команды в Терминале:

eval `ssh-agent`
ssh-add ~ / .ssh / some_key_rsa
ssh user @ server

(Я написал несколько функций Bash, чтобы сделать это проще.)

Есть ли лучший способ сделать это с помощью брелка?

Чтобы это работало, $SSH_AUTH_SOCKнужно указать переменную окружения /tmp/launch-xxxxxx/Listeners. Предполагается, что это будет сделано автоматически при входе в систему. Слушатель на этом сокете говорит по протоколу ssh-agent.

Ваши bash-скрипты ssh-agentзапускают ваш собственный ssh-агент (пишется , а не ssh_agent) и переопределяют существующий ssh-agent, настроенный для вас при входе в систему.

Кроме того, весь смысл цепочки для ключей заключается в сохранении паролей к вашим ssh-ключам, но вы говорите, что у вас не установлены парольные фразы для этих ключей, поэтому я не уверен, что вы ожидаете от интеграции цепочки для ключей.

Наконец, при первом входе в систему вы, вероятно, не увидите процесс ssh-agent. Этот процесс будет запущен автоматически службами запуска, когда кто-то пытается прочитать этот сокет в первый раз /tmp.

Начиная с версии Leopard OS X, ssh-agent более тесно интегрирован с Keychain. Можно надежно хранить парольные фразы всех ваших ключей SSH в связке ключей, откуда ssh-agent будет читать их при запуске. Суть в том, что ваши ключи легко защитить парольными фразами, но вам никогда не придется вводить парольную фразу, чтобы использовать их! Вот как:

Добавьте ключевую фразу к каждому ключу ssh в цепочку ключей: (опция -k загружает только простые личные ключи, пропускает сертификаты)

ssh-add -K [path/to/private SSH key]

(обратите внимание, что это заглавная K)

Всякий раз, когда вы перезагружаете свой Mac, все ключи SSH в вашей цепочке для ключей будут автоматически загружены. Вы должны увидеть ключи в приложении Keychain Access, а также из командной строки:

ssh-add -l

Что касается macOS Sierra , ssh-agent больше не загружает автоматически загруженные ранее ssh-ключи при входе в свою учетную запись. Это намеренно со стороны Apple, они хотели переориентироваться на основную реализацию OpenSSH . [1]

Как объясняется здесь , это рекомендуемый метод начиная с macOS 10.12.2 :

1. Добавьте следующие строки в ваш ~/.ssh/configфайл:

   Host *
       UseKeychain yes
       AddKeysToAgent yes
   

2. Любой ключ, который вы добавляете в ssh-agent с помощью ssh-add /path/to/your/private/key/id_rsaкоманды, будет автоматически добавлен в цепочку для ключей и должен быть автоматически загружен при перезагрузке.

Следующее не рекомендуется (сохраняется для справки).

Чтобы вернуться к предыдущему поведению, вы должны выполнить ssh-add -Aкоманду (которая автоматически загружает все ssh-ключи, которые имеют парольные фразы в цепочке для ключей) при входе в систему. Для этого выполните следующие действия:

1. Сначала добавьте все ключи, которые вы хотите автоматически загрузить в ssh-agent, используя ssh-add -K /absolute/path/to/your/private/key/id_rsaкоманду. -KАргумент гарантирует , что ключ доступа фраза добавляется брелка Macos в . Убедитесь, что вы используете абсолютный путь к ключу. Использование относительного пути заставит автоматически запускаемый скрипт не найти ваш ключ.

2. Убедитесь, что все ваши ключи отображаются как добавленные при вводе ssh-add -A.

3. Создайте файл com.yourusername.ssh-add.plistв ~/Library/LaunchAgents/с ниже содержанием. Файлы Plist, такие как этот, используются launchdдля запуска сценариев при входе в систему. [2] [3]

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
   <dict>
   <key>Label</key>
     <string>com.user.loginscript</string>
   <key>ProgramArguments</key>
     <array>
       <string>ssh-add</string>
       <string>-A</string>
     </array>
   <key>RunAtLoad</key>
     <true/>
   </dict>
   </plist>
   

4. Скажите , launchdчтобы загрузить файл Plist только что созданный командой: launchctl load ~/Library/LaunchAgents/com.yourusername.ssh-add.plist.

И у тебя должно быть все готово.

Есть более простой способ, чем ответ Рикардо, чтобы сохранить ваш пароль между сессиями / перезапусками вашего Mac под управлением 10.12 Sierra.

1. ssh-add -K ~/.ssh/id_rsa
   Примечание: измените путь к месту, где находится ваш ключ id_rsa.
2. ssh-add -A

3. Создайте (или отредактируйте, если он существует) следующий ~/.ssh/configфайл:

   Host *
     UseKeychain yes
     AddKeysToAgent yes
     IdentityFile ~/.ssh/id_rsa
   

   Теперь пароль запоминается между перезагрузками!

Apple намеренно изменила поведение ssh-agent в macOS 10.12 Sierra, чтобы больше не загружать автоматически предыдущие ключи SSH, как отмечалось в этом обсуждении OpenRadar , Twitter и Техническом примечании от Apple . Решение выше имитирует старое поведение El Capitan и запоминает ваш пароль.

Примечание: для macOS Sierra, пожалуйста, обратитесь к более свежему ответу ChrisJF .

[Ответ Джеффа МакКаррелла] [2] является правильным, за исключением того, что команда для добавления ключевой фразы содержит дефис, а не дефис, то есть –Kвместо того -K, чтобы вызывать сообщение с эффектом –K: No such file or directory. Следует читать:

ssh-add -K [path/to/private SSH key]

Я подозреваю, что вы не используете команду по умолчанию ssh. У вас sshустановлены через порты? Попробуйте which sshузнать, какую sshкоманду вы используете.

Обычно должно отображаться диалоговое окно с запросом вашего пароля, если он еще не сохранен в вашей цепочке для ключей.

У меня была похожая проблема при попытке войти в систему с помощью ssh-сертификата клиента. В этом конкретном случае это было для доступа к хранилищу git. Это была ситуация:

• Ключ был сохранен в ~/.ssh/
• Закрытый ключ имеет парольную фразу.
• Фраза-пароль хранится в цепочке ключей входа OS X. ~/Library/Keychains/login.keychain
• Соединение было следующим: мой Mac ->удаленный Mac ->Git / SSH сервер
• Mac OS X 10.8.5

Когда я подключился к удаленному Mac с помощью удаленного рабочего стола, у меня не было проблем. Однако при подключении по SSH к удаленному компьютеру Mac каждый раз меня спрашивали о парольной фразе ssh. Следующие шаги решили это для меня.

3. security unlock-keychainКлючевая фраза хранится в цепочке ключей входа в систему. Это разблокирует его и позволит ssh-agent получить к нему доступ.
4. eval `ssh-agent -s`Запускает ssh-агент для использования оболочки. Он получит ключевую фразу из цепочки для ключей и использует ее для разблокировки закрытого ключа ssh.
5. Установите соединение ssh / git и сделайте мою работу.
6. eval `ssh-agent -k` Убей работающего ssh-агента.
7. security lock-keychain Снова заблокируйте брелок.

Смотрите также:

security import priv_key.p12 -k ~/Library/Keychains/login.keychain
security import pub_key.pem -k ~/Library/Keychains/login.keychain

... добавив это примечание, поскольку было запрошено больше подробностей: команда "security" способна импортировать ключи (и другие вещи) непосредственно в цепочки для ключей. Приятно то, что в отличие от ssh-add, вы можете указать связку ключей. Это позволяет импортировать напрямую в систему Keychain («man security», чтобы узнать, как)

Лучшее решение Apple (начиная с macOS 10.12.2) описано здесь

Так что просто сделайте следующее:

echo "UseKeychain yes" >> ~ / .ssh / config