ssh password temporär speichern? - the sudo way?

[Mona]

Ich weiß, ich kann ssh mit keys auch ohne passwort benutzen, dann muss ich aber immer den key parat haben und zudem öffne ich die tür dann immer.

Ich fände es besse, wenn es wie bei sudo gehen könnte: Ich gebe mein passwort bei einer ssh-Sitzung ein und mein Passwort wird für eine vorgegebene Zeit "gemerkt", so dass ich es für kurze Zeit nicht dauernd eingeben muss.

Gibt es sowas für ssh?

[catdog2]

Du suchst ssh-agent.

[MSfree]

Ich weiß, ich kann ssh mit keys auch ohne passwort benutzen, dann muss ich aber immer den key parat haben und zudem öffne ich die tür dann immer.

Den Key dabei zu haben, sollte mit einem USB-Stick kein so großes Problem darstellen. Du öffnest den Zugang aber nicht "für immer". Die Passphrase, mit der der Key verschlüsselt ist, kann jederzeit geändert werden. Wenn du einen unverschlüsselten Key auf USB-Stick rumträgst, mußt du halt aufpassen, daß der Stick nicht in falsche Hände gelangt. Man könnte aber z.B. auch das Dateisyestem des USB-Stick verschlüsseln, so daß das Paßwort für die Dateisystemverschlüsselung nur einmalig abgefragt wird.

Du kannst sogar den Key auf einem Rechner mit Passphrase verschlüsselt ablegen und auf einem anderen Rechner den gleichen Key ohne Passphrase.

Ich fände es besse, wenn es wie bei sudo gehen könnte

Siehe mein Vorposter.

Mit welcher Methode du dich wohler fühlst, mußt du selbst entscheiden.

[uname]

Auf unsicheren Systemen (z.B. mit Trojanern) bieten selbst SSH-Keys und Passphrases keine absolute Sicherheit. Nutzt du SSH z.B. von Systemen bei Bekannten solltest du vielleicht zusätzlich über Einmal-Passwörter (z.B. otpw-bin) nachdenken. Die zugehörige Liste kannst du auf Papier ausdrucken und bei Bedarf zuvor beliebig verschleiern.

[MSfree]

...solltest du vielleicht zusätzlich über Einmal-Passwörter (z.B. otpw-bin) nachdenken. Die zugehörige Liste kannst du auf Papier ausdrucken und bei Bedarf zuvor beliebig verschleiern.

Es gibt für OTP auch Generatoren, die man auf Mobiltelefonen laufen lassen kann. Statt einer Liste, ähnlich einer TAN-Liste beim Onlinebanking, mitzu führen, kann man das jeweilige Einmalpasswort auch im Telefon rechnen lassen.

[Mona]

Ich habe mich am ssh-agent versucht, wirklich gut dokumentiert ist der ja leider nicht

Ich hätte eine Verständnisfrage: Ich habe kapiert, wie ich den ssh-agent beim login starte und auch dass man ein timeout beim Hinzufügen eines keys setzen kann.

Zur Ausgangsfrage: Bei sudo speichert das System das Passwort in dem Momment, in welchem ich es eingebe, für eine vorgegebene Zeit, so dass ich es nicht immer wieder eingeben muss.

Wenn ich den ssh-agent beim login starte und mit einem timeout meinen key hinzufüge, läuft der timeout sofort, also nicht erst, wenn ich mit einem remotehost verbinde. Verbinde ich mich dann nach dem timeout wird der key gar nicht zwischengespeichert, sondern ich muss erst wieder manuell ssh-add ausführen, richtig?

Gibt es denn wirklich keine mit (sudo vergleichbare) Möglichkeit, den timeout erst zu starten, wenn ich das erste mal das passwort bei einem ssh-verbindungs-versuch eingebe?