Отправить мой закрытый ключ только через сеанс ssh

Мой сценарий:

localhost: contains my private key serverA: contains my public key serverB: contains my public key 

Я подключился к серверу и выполнил некоторые операции, связанные с копированием некоторых файлов с сервераB . Поскольку я вхожу в систему с обычным именем пользователя, я не хочу, чтобы мой закрытый ключ хранился в сервере А. Это означает, что в идеальной ситуации я могу отправить свой закрытый ключ только через сеанс ssh и сделать его доступным, как это делает ssh-agent , поэтому я подключаюсь от serverA к серверуB , мой закрытый ключ считывается из памяти и используется для аутентификации на сервере . Это возможно?

One Solution collect form web for “Отправить мой закрытый ключ только через сеанс ssh”

Да, это то, что делают флагов ssh -A .

Это работает только с ключами, уже добавленными к запущенному ssh-agent на вашем локальном компьютере. Если вам нужно ввести парольную фразу при подключении к serverA (или просто использовать ключ без пароля), то это не сработает

На странице руководства:


Включает пересылку соединения агента аутентификации. Это также можно указать для каждого узла в файле конфигурации.

Переадресацию агента следует активировать с осторожностью. Пользователи с возможностью обойти права доступа к файлу на удаленном хосте (для сокета UNIX-домена агента) могут получить доступ к локальному агенту через перенаправленное соединение. Злоумышленник не может получить ключевой материал от агента, однако он может выполнять операции над ключами, которые позволяют им аутентифицироваться, используя идентификаторы, загруженные в агент.

-a
Отключает пересылку соединения агента аутентификации.

Однако вы можете обратить внимание на предупреждение в цитате. -A не раскрывает ваш ключ, но он позволяет любому, у кого есть доступ на чтение / запись к сокету ssh-agent на сервере, использовать ваши учетные данные, если они знают, где искать сокет. Поскольку вы входите в систему с использованием общего пользователя, тогда любой, кто имеет доступ к этому пользователю, может получить доступ к вашему агенту.

Я думаю, что SSH_AUTH_SOCK на сервере просто направляет трафик прямо к ssh-агенту, запущенному на вашем локальном компьютере.

  • Как ускорить работу ssh-agent?
  • ssh-keyscan не имеет выхода
  • Можно ли установить заголовок терминала Gnome для «user @ host» для любого хоста, к которому я подключен?
  • Нет цвета в MOTD
  • Как «связывать» sshd только с данным интерфейсом?
  • Скорость Xforwarding и vnc, для pdf
  • Как проверить, какие SSH-ключи в настоящее время активны?
  • Как разрешить прямой доступ root через SSH в определенном диапазоне IP?
  • Как проверить, когда в конце открытого ключа SSH требуется значение = или ==?
  • Эквивалент scp -l bandwidth_cap для .ssh / config?
  • Запуск firefox на удаленном хосте (через ssh) открывает новое окно локально: что происходит?
  • Linux и Unix - лучшая ОС в мире.