Discussion:
clés ssh multiples
(trop ancien pour répondre)
Thomas
2023-08-24 16:19:35 UTC
Permalink
bonjour :-)

je suis sous Ubuntu 22 (LTS).
est-ce que suffisamment de gens connaissent Ubuntu ici ?
Si non, où est-ce que je devrais poser cette question ?


j'ai ajouté des clés avec IdentityFile.

quand ssh a besoin de ces clés, il affiche :
Enter passphrase for key '...':
dans le terminal, au lieu de faire une invite dans l'interface graphique.
Du coup, ça n'est pris en charge par aucun mécanisme de gestion de mdp ! 🙁

pourquoi ?
Est-ce qu'on peut arranger ça ?
--
RAPID maintainer
http://savannah.nongnu.org/projects/rapid/
Nicolas George
2023-08-24 16:40:24 UTC
Permalink
Post by Thomas
dans le terminal, au lieu de faire une invite dans l'interface graphique.
Du coup, ça n'est pris en charge par aucun mécanisme de gestion de mdp ! 🙁
AddKeysToAgent
Specifies whether keys should be automatically added to a run‐
ning ssh‐agent(1). If this option is set to yes and a key is
loaded from a file, the key and its passphrase are added to the
agent with the default lifetime, as if by ssh‐add(1). If this
option is set to ask, ssh(1) will require confirmation using
the SSH_ASKPASS program before adding a key (see ssh‐add(1) for
details). If this option is set to confirm, each use of the
key must be confirmed, as if the -c option was specified to
ssh‐add(1). If this option is set to no, no keys are added to
the agent. Alternately, this option may be specified as a time
interval using the format described in the “TIME FORMATS” sec‐
tion of sshd_config(5) to specify the key’s lifetime in
ssh‐agent(1), after which it will automatically be removed.
The argument must be no (the default), yes, confirm (optionally
followed by a time interval), ask or a time interval.
Thomas
2023-08-24 20:43:08 UTC
Permalink
Post by Nicolas George
Post by Thomas
dans le terminal, au lieu de faire une invite dans l'interface graphique.
Du coup, ça n'est pris en charge par aucun mécanisme de gestion de mdp ! 🙁
AddKeysToAgent
Specifies whether keys should be automatically added to a run‐
ning ssh‐agent(1). If this option is set to yes and a key is
Host *

Compression yes
ForwardAgent no

IdentityFile ...
AddKeysToAgent yes


j'ai ajouté AddKeysToAgent à mon ~/.ssh/config comme ci-dessus, et ca ne
change rien.

pourquoi est-ce que la clé par défaut fonctionne parfaitement alors que
la valeur par défaut de AddKeysToAgent est no ?
--
RAPID maintainer
http://savannah.nongnu.org/projects/rapid/
Thomas
2024-03-04 04:04:44 UTC
Permalink
Post by Thomas
Post by Thomas
dans le terminal, au lieu de faire une invite dans l'interface graphique.
Du coup, ça n'est pris en charge par aucun mécanisme de gestion de mdp ! 🙁
        AddKeysToAgent
                Specifies  whether keys should be automatically added
to a run‐
                ning ssh‐agent(1).  If this option is set to yes and
a  key  is
Host *
    Compression yes
    ForwardAgent no
    IdentityFile ...
    AddKeysToAgent yes
j'ai ajouté AddKeysToAgent à mon ~/.ssh/config comme ci-dessus, et ca ne
change rien.
J'ai refait le tour de ce problème, et en me relisant je n'ai pas
l'impression d'avoir été confus, ou d'avoir oublié de décrire quelque
chose d'important.

Ce problème reste non-résolu ...

Est-ce que quelqu'un aurais une idée de la direction dans laquelle
poursuivre les recherches SVP ? Je n'ai pas d'idée, là ...


Pourtant, avoir plusieurs clés qui marchent en même temps, il me semble
que c'est basique, quand on a un doute sur l’intégrité de l'une d'elles
et qu'on veut en changer ... Comment ça se fait qu'on ne peut pas le
faire simplement sous Ubuntu ?
--
RAPID maintainer
http://savannah.nongnu.org/projects/rapid/
Thomas
2024-03-11 22:19:19 UTC
Permalink
Post by Thomas
Post by Thomas
Post by Thomas
dans le terminal, au lieu de faire une invite dans l'interface graphique.
Du coup, ça n'est pris en charge par aucun mécanisme de gestion de mdp ! 🙁
        AddKeysToAgent
Host *
     IdentityFile ...
     AddKeysToAgent yes
j'ai ajouté AddKeysToAgent à mon ~/.ssh/config comme ci-dessus, et ca
ne change rien.
J'ai refait le tour de ce problème, et en me relisant je n'ai pas
l'impression d'avoir été confus, ou d'avoir oublié de décrire quelque
chose d'important.
Ce problème reste non-résolu ...
Pourtant, avoir plusieurs clés qui marchent en même temps, il me semble
que c'est basique, quand on a un doute sur l’intégrité de l'une d'elles
et qu'on veut en changer ... Comment ça se fait qu'on ne peut pas le
faire simplement sous Ubuntu ?
Au cas où quelqu'un passe par là ...

J'avais oublié de tester quelque chose :

$ ssh-add /home/a/.ssh/id_rsa.1
Could not open a connection to your authentication agent.
--
RAPID maintainer
http://savannah.nongnu.org/projects/rapid/
Éric Masson
2024-03-30 10:43:04 UTC
Permalink
Thomas <***@free.fr.invalid> writes:

'Lut,
Post by Thomas
$ ssh-add /home/a/.ssh/id_rsa.1
Could not open a connection to your authentication agent.
L'agent est-il démarré ?

La variable d'environnement SSH_AUTH_SOCK est-elle définie et sa valeur
est-elle cohérente avec les arguments passé à l'agent lors de son
démarrage ?

Pour la saisie de la passphrase en mode X11, la réponse de Nicolas en
début de fil fournit les éléments requis (SSH_ASKPASS), quelques
éléments complémentaires concernant la mise en œuvre :
https://bugzilla.mindrot.org/show_bug.cgi?id=69
--
Je voudrais savoir s'il existe un compteur de vitesse (?) pour savoir
à quelle vitesse on est réellement connecté au FAI et surtout si une
telle bête existe... où la trouver.
-+- RJ in: <http://www.le-gnu.net> - Baisse la tête et pédale -+-
yamo'
2024-03-29 08:25:50 UTC
Permalink
Salut,
Post by Thomas
Post by Thomas
dans le terminal, au lieu de faire une invite dans l'interface graphique.
        AddKeysToAgent
J'ai refait le tour de ce problème, et en me relisant je n'ai pas
l'impression d'avoir été confus, ou d'avoir oublié de décrire quelque
chose d'important.
C'est une modification qui pourrait amener beaucoup d'inconvénients à ceux
se servant de SSH quotidiennement...

Aussi faudrait-il donner exactement le logiciel utilisé et un scénario
d'utilisation pour que quelqu'un de motivé veuille le tester sur une VM. Et
l'usage de SSH, ça doit pouvoir être utilisé pour pleins de choses :
terminal sur SSH, ssh-fs, scp, rsync, application distantes (il me semble
plusieurs cas possibles), ...


Et préciser exactement la version utilisée et quelle interface graphique
avec la version (ce n'est peut-être pas le bon terme mais au choix : gnome,
XFCE, LXDE, ...)
--
Stéphane
Thomas
2024-03-30 05:33:53 UTC
Permalink
Post by yamo'
Salut,
Merci pour ta réponse :-)
Post by yamo'
Post by Thomas
Post by Thomas
dans le terminal, au lieu de faire une invite dans l'interface graphique.
        AddKeysToAgent
J'ai refait le tour de ce problème, et en me relisant je n'ai pas
l'impression d'avoir été confus, ou d'avoir oublié de décrire quelque
chose d'important.
C'est une modification qui pourrait amener beaucoup d'inconvénients à ceux
se servant de SSH quotidiennement...
Peux tu préciser STP ?
Parce que, puisque c'est une fonction donnée pour la clé par défaut,
pourquoi est-ce que ça ne marcherais pas pour les autres ?
Post by yamo'
Aussi faudrait-il donner exactement le logiciel utilisé et un scénario
d'utilisation pour que quelqu'un de motivé veuille le tester sur une VM.
les logiciels utilisés c'est ceux livrés avec Ubuntu 22, c’est-à-dire
ssh et je pense seahorse. Mais je ne sais pas s'il y en a d'autres dans
la chaîne d'interaction.
Il y a probablement un démon qui fait partie du paquet ssh, pour gérer
les clés, à qui seahorse ne donne que les phrases de passe. Enfin ça
c'est ce que j'ai compris, je ne suis pas sur.

En gros :
1) tu prend un Ubuntu tout neuf,
2) tu fais 1 clé ssh avec ssh-keygen, tu la fais avec une phrase de passe,
3) tu mets la clé publique sur un autre ordinateur
4) tu te connectes à l'autre ordinateur depuis ton Ubuntu tout neuf
5) tu observes comment la phrase de passe est gérée par les dispositifs
avec interface graphique.

J'aimerais juste pouvoir faire la même chose avec une 2ème clé ssh,
voire une 3ème au besoin. :-)


le scénario, chez moi :
1) J'ai fait une clé ssh toute neuve (avec ssh-keygen) sur mon nouvel
ordinateur.
2) J'ai voulu utiliser celle de mon ancien ordinateur pour accéder à mes
ordinateurs distants déjà configurés, sans en faire ma clé par défaut.

(Est-ce que c'est un scénario complet ?)
Post by yamo'
Et
terminal sur SSH, ssh-fs, scp, rsync, application distantes (il me semble
plusieurs cas possibles), ...
Ce qui ne marche pas ne marche pas avec un SSH simple dans un terminal.
Des que celui-là marche, tout le reste marche.
Post by yamo'
Et préciser exactement la version utilisée et quelle interface graphique
avec la version (ce n'est peut-être pas le bon terme mais au choix : gnome,
XFCE, LXDE, ...)
je suis sous Ubuntu 22 (LTS), sans modification majeure. donc toujours
gnome.
--
RAPID maintainer
http://savannah.nongnu.org/projects/rapid/
Thomas
2024-04-01 00:06:47 UTC
Permalink
Il y a probablement un démon qui fait partie du paquet SSH, pour gérer
les clés, à qui Seahorse ne donne que les phrases de passe. Enfin ça
c'est ce que j'ai compris, je ne suis pas sur.
En fait, peut-être que ça marche comme ça sous Mac OS X mais pas sous
Ubuntu.

SSH_AGENT_LAUNCHER=gnome-keyring
SSH_AUTH_SOCK=/run/user/1001/keyring/ssh

Pas de SSH_ASKPASS.

(Est-ce que quelqu'un passant par ici saurait comment tout ça fonctionne
sous Ubuntu ?)
1) J'ai fait une clé SSH toute neuve (avec ssh-keygen) sur mon nouvel
ordinateur.
2) J'ai voulu utiliser celle de mon ancien ordinateur pour accéder à mes
ordinateurs distants déjà configurés, sans en faire ma clé par défaut.
(Est-ce que c'est un scénario complet ?)
Ce que je t'ai écrit là ne me plaisais pas trop, alors j'ai creusé un
peu plus :

En fait (d’après mon expérience), pour que Seahorse accepte de prendre
en charge une clé SSH supplémentaire, il y a 2 conditions à respecter :

1) Il ne regarde que dans ~/.ssh/ et nulle part ailleurs. Donc la clé
doit être placée dans ~/.ssh/ strictement, même pas dans un sous-répertoire.

Et je n'ai pas trouvé de moyen de lui indiquer un emplacement.
IdentityFile donne l'info à SSH, mais Seahorse s'en fiche ! C'est pour
ça qu'on a une invite dans le terminal ...

2) Il faut obligatoirement que la clé publique soit présente au même
endroit, dans un fichier de nom identique avec juste l'extension "pub"
en plus.
Ça n'est pas intuitif, puisque SSH ne demande pas ça ! (Je viens de
vérifier à nouveau.)


merci à tous ceux qui ont (tenté de) donne(r) un coup de main. :-)
--
RAPID maintainer
http://savannah.nongnu.org/projects/rapid/
Philippe Weill
2024-04-01 05:35:24 UTC
Permalink
Il y a probablement un démon qui fait partie du paquet SSH, pour gérer les clés, à qui Seahorse ne donne que les phrases de passe.
Enfin ça c'est ce que j'ai compris, je ne suis pas sur.
En fait, peut-être que ça marche comme ça sous Mac OS X mais pas sous Ubuntu.
SSH_AGENT_LAUNCHER=gnome-keyring
SSH_AUTH_SOCK=/run/user/1001/keyring/ssh
Pas de SSH_ASKPASS.
(Est-ce que quelqu'un passant par ici saurait comment tout ça fonctionne sous Ubuntu ?)
que donne comme reponse

apt list --installed|grep askpass

est ce que le package "ssh-askpass-gnome" est installé
Thomas
2024-04-03 20:20:50 UTC
Permalink
Post by Philippe Weill
Il y a probablement un démon qui fait partie du paquet SSH, pour
gérer les clés, à qui Seahorse ne donne que les phrases de passe.
Enfin ça c'est ce que j'ai compris, je ne suis pas sur.
En fait, peut-être que ça marche comme ça sous Mac OS X mais pas sous Ubuntu.
SSH_AGENT_LAUNCHER=gnome-keyring
SSH_AUTH_SOCK=/run/user/1001/keyring/ssh
Pas de SSH_ASKPASS.
(Est-ce que quelqu'un passant par ici saurait comment tout ça fonctionne sous Ubuntu ?)
que donne comme reponse
apt list --installed|grep askpass
est ce que le package "ssh-askpass-gnome" est installé
Non

$ apt list *askpass*
En train de lister... Fait
ksshaskpass/jammy 4:5.24.4-0ubuntu1 amd64
lxqt-openssh-askpass-l10n/jammy,jammy 0.17.0-0ubuntu1 all
lxqt-openssh-askpass/jammy 0.17.0-0ubuntu1 amd64
r-cran-askpass/jammy 1.1-2 amd64
ssh-askpass-fullscreen/jammy 0.3-3.1build2 amd64
ssh-askpass-gnome/jammy-updates,jammy-security 1:8.9p1-3ubuntu0.6 amd64
ssh-askpass-gnome/jammy-updates,jammy-security 1:8.9p1-3ubuntu0.6 i386
ssh-askpass/jammy 1:1.2.4.1-13 amd64
$ apt list --installed *askpass*
En train de lister... Fait

Je l'ai installé sur une machine virtuelle de tests pour vérifier si ça
permet d'enregistrer le mot de passe (ou si ça permet seulement de le
demander via la GUI),
et pour la clé fléchée par IdentityFile, l'invite reste dans le terminal.

les variables citées sont pareil qu'avant.
peut-être un bout de configuration qui ne s'est pas fait ou qui doit
être fait à la main ?


j'ai trouvé à creuser par là :
https://askubuntu.com/questions/1015621/add-ssh-key-password-to-gnome-keyring
https://unix.stackexchange.com/questions/168062/how-to-save-an-ssh-key-passphrase-in-gnome-keyring
mais comme j'ai trouvé comment faire marcher le truc, je ne sais pas si
j'aurai le courage de me plonger dedans à fond jusqu'à tout comprendre.
J'ai d'autres trucs qui marchent pas. ;-)
--
RAPID maintainer
http://savannah.nongnu.org/projects/rapid/
Loading...