zbeng Posted October 13, 2006 Report Share Posted October 13, 2006 NUME ssh-agent2 - agent de autentificareSINOPTICA ssh-agent2 comanda eval `ssh-agent2 [-s] [-c] [-1]`DESCRIERE ssh-agent2 este un program pentru a pastra cheile de autentificare private. Idea este ca ssh-agent2 este pornit la inceputul unei sesiuni X sau a uneia de logare normala si toate celelalte ferestre sau programe sint pornite ca procese fiu ale ssh-agent2 ( comanda in mod normal porneste X sau interpretorul utilizatorului). Programele pornite sub agent mostenesc o conexiune catre el, iar agentul este utilizat pentru autentificarea cheilor publice cind va logati pe alte gazde utilizind ssh. Daca ssh-agent2 este executat fara nici un argument (nici o comanda) el va face fork si va porni agentul ca proces de fundal. Dealtfel, el va afisa comenzi care pot fi evaluate in interpretoare ca sh sau csh si va seta variabilele de mediu SSH2_AUTH_SOCK si SSH2_AGENT_PID . Variabila de mediu SSH2_AGENT_PID poate fi utilizata pentru a distruge agentul atunci cind nu mai este nevoie de el (ati incheiat sesiunea X etc). Daca nu este data nici o optiune ssh-agent2 utilizeaza variabila de mediu SHELL pentru a detecta ce fel de interpretor aveti (de tip *csh sau sh). Optiunea -c va forta stilul de interpretor csh si optiunea -s stilul sh. De observat ca in variantele SysV (cel putin IRIX si Solaris) variabila de mediu SHELL s-ar putea sa nu contina valoarea actuala a interpretorului ce executa evaluarea. Daca variabila de mediu ALTSHELL este setata la YES in fisierul /etc/default/login, variabila SHELL este setata la interpretorul de login al utilizatorului. Initial, agentul nu are nici o cheie privata. Cheile sint adaugate utilizind programul ssh-add2. Agentul poate stoca mai multe identitati. El poate utiliza in mod automat oricare din aceste identitati. Comanda ssh-add2 -l afiseaza identitatile curente pe care le detine agentul. Idea este ca agentul este rulat in PC-ul, laptopul sau terminalul (local) al utilizatorului. Datele de autentificare nu trebuie stocate pe nici o masina din retea si frazele de trecere nu trebuie sa ajunga niciodata in retea. Oricum, conexiunea catre agent este inaintata prin logarea distanta ssh si astfel utilizatorul poate beneficia de privilegiile date de identitate oriunde in retea si intr-un mod securizat. Programele fiu ale agentului mostenesc o conexiune a acestuia. Este creat un soclu de tip unix-domain ( /tmp/ssh-$USER/agent-socket-<pid> ), unde <pid> este ID-ul de proces al ascultatorului (agentul sau sshd care activeaza ca proxy pentru agent). Numele acestui socket este stocat in variabila de mediu SSH2_AUTH_SOCK . Soclul este facut accesibil numai utilizatorului curent. Aceasta metoda poate fi tinta abuzului din partea root sau instanta aceluiasi utilizator. Vechile versiuni de ssh utilizau descriptorul de fisier mostenit pentru a contacta agentul si utiliza soclul unix-domain intr-un mod incompatibil. Daca comanda este data ca argument pentru ssh-agent2, agentul se termina automat cind comanda din linia de comanda isi termina executia. Comanda este executata chiar daca agentul esueaza sa porneasca serviciile de stocare si manipulare a cheilor.COMPATIBILITATE Cu optiunea -1 ssh-agent2 poate sa functioneze ca o aplicatie ssh1 veche si poate de asemenea sa fie accesat cu programul ssh-add din versiuni ssh1. Daca dati aceasta optiune agentului ssh-agent2, programul va seta si variabilele de mediu SSH_AUTH_SOCK si SSH_AGENT_PID si va partaja chei cu ambele protocoale.FISIERE $HOME/ . ssh2/id_KEYTYPE_KEYLEN_XX Contine cheia privata de identificare a utilizatorului. Acest fisier trebuie sa nu poata fi citit de nici un utilizator. Este posibil sa specificati o fraza de trecere atunci cind generati cheia. Aceasta fraza va fi utilizata pentru a cripta partea privata a acestui fisier. Acest fisier nu este utilizat de ssh-agent2, dar in mod normal este adaugat agentului utilizind ssh-add2 in momentul logarii. /tmp/ssh-$USER/agent-socket-<pid> Socluri de tip unix-domain utilizate pentru conexiunea la agentul de autentificare. Aceste socluri trebuie sa nu poata fi citite decit de proprietar si ar trebui sa fie sterse automat in momentul in care agentul se termina. Directorul parinte al ssh2-$USER trebuie sa aiba bitul sticky setat.AUTORI http://www.ssh.fi. Quote Link to comment Share on other sites More sharing options...
