ssh-agent: не пересылать аутентификацию для всего набора ключей

10

У меня есть два закрытых ключа SSH:

один для доступа к моим личным машинам,
один для доступа к серверам на моей работе .

Я добавляю эти два ключа в мой ssh-агент с помощью ssh-add.

Теперь, когда я это сделаю, ssh -A root@jobsrvя бы хотел перенаправить аутентификацию агента только для моего рабочего ключа (тот, который я использую для подключения jobsrv).

Я хочу этого, потому что любой, имеющий root-доступ, jobsrvможет использовать моего агента для аутентификации на моих личных машинах.

Есть ли способ добиться этой изоляции?

ssh security ssh-agent

— Totor
источник

Вы проверили опцию -i на странице руководства по ssh?

— Человек

1

@Stillakid да, ssh -A -i myjobkey_rsa root@jobsrvвсе еще позволяет машине jobsrv получать доступ к моему локальному агенту машины и проходить аутентификацию на моем персональном сервере с помощью другого (личного) ключа ...

— Totor

также проверил ssh-keysign?

— Человек,

2

Чтобы принудительно ssh(1)использовать определенный ключ, даже если он ssh-agent(1)предлагает несколько ключей , используйте директиву IdentityFileand , например:IdentitiesOnly~/.ssh/config

Host example.com
    IdentityFile ~/.ssh/keys/special.pem
    IdentitiesOnly yes

Смотрите ssh_config(5)подробности.

— mjhennig
источник

Это не работает . IdentitiesOnlyприменяется при попытке подключения к удаленному серверу. После подключения, если -Aвключена переадресация агента, пересылается весь набор ключей.

— Тотор

Брелок не передан. Это запрос авторизации, который пересылается в .

— Багамат

@bahamat Конечно, моя ошибка. Тем не менее, это решение не работает.

— Тотор

2

К сожалению, я полагаю, что в настоящее время невозможно легко добиться этого . Можно использовать двух агентов (по одному для каждого ключа), чтобы не было агента, который удерживал бы все ключи. Но с этим было бы довольно обременительно работать.

Вот почему отчет об ошибке (улучшение) был открыт. Есть и такой же отчет .

— Totor
источник