[open ssh] デフォルトでエージェントフォワードさせておきたい件

Open ssh 2013

先日ホストベースド認証のエントリを書いたばかりで、またたテメーsshかよ。 な感じですね。

今回も誰の需要があるのか知りませんが、エージェントフォワードをデフォルトで許可しておく設定に関してです。
ていうか、puttyとかからサーバに接続するのは分かります。 オプションでエージェントフォワードの許可にチェックを入れるだけですね。

ただ、自分の今の環境はサーバに接続する際 “踏み台” を経由してその先のサーバにつないでいます。
なので、踏み台から多段でSSHする時は「作業するサーバでSCPやらSSHをしたい時、-A オプション必須」 な感じになるのですが、もう、これめんどくせー!

って思い始めてきた今日この頃だった。
いつも -A をつけないでログインしては、何も考えずついつい ssh とか scp とかコマンドうって。
Permission denied (publickey,gssapi-with-mic,password).
とおこられるしまつ。 

というわけで、なんとかならんのでしょうか?
と先輩に聞いたところ、 あっさり なんとかなるよ 。と。   んー(;´Д`)♪

というわけで戒めエントリ!

ていうか ‘man ssh_config’ をしる

そもそも man ssh とかやって眺めてたんですが、「ちがうよ、おぼっちゃん」と。
man ssh_config だよ、と。

え、なんでそんな man もあるのでしょうか。。w (;´Д`)

いずれにせよ、参照したところ下記のようにかかれていました。

(抜粋)

ForwardAgent
Specifies whether the connection to the authentication agent (if any) will be
forwarded to the remote machine. The argument must be “yes” or “no”. The default is “no”.

Agent forwarding should be enabled with caution.
Users with the ability to bypass file permissions on the remote host (for the agent’s Unix-domain socket)
can access the local agent through the forwarded connection.

An attacker cannot obtain key material from the agent, however they can perform
operations on the keys that enable them to authenticate using the identities loaded into the agent.

なので、
~/.ssh/config
/etc/ssh/ssh_config
のどちらかのファイルに(なければ作成して)

ForwardAgent yes
と、1行かいておくだけでOK

めちゃはかどるわい!!

2013-11-12 | Posted in サーバー小ネタ(Linux)No Comments » 


関連記事

Comment





Comment



*