Können Sie Kennwörter in .ssh / config festlegen, um die automatische Anmeldung zu ermöglichen?

Ich benutze Ubuntu 11.10. Ich verwende sshfür die Verbindung mit vielen Servern täglich, damit ich ihre Parameter in die .ssh/configDatei wie folgt setzen:

Host Home
User netmoon
Port 22
HostName test.com

Gibt es eine Möglichkeit, Kennwörter für jede Verbindung in diese Datei einzufügen, sodass das Terminal, wenn der Server nach dem Kennwort fragt, sein Kennwort eingibt und es an den Server sendet?

Ich brauche das, weil ich manchmal vom PC wegstehe und wenn ich zurückgehe, ein Passwort eingebe und auf Enterdas Terminal drücke, sagt CONNECTION CLOSED.

PS Ich möchte kein öffentliches / privates Schlüsselpaar verwenden.

Sicherheit aus Bequemlichkeitsgründen auszutauschen, hört nie gut auf ...

Könnten Sie ssh-copy-idaus dem openssh-clientPaket verwenden?

Von man ssh-copy-id:

ssh-copy-id ist ein Skript, das ssh verwendet, um sich bei einem Remote-Computer anzumelden und die angegebene Identitätsdatei an die Datei ~ / .ssh / authorized_keys dieses Computers anzuhängen.

Wenn Sie ein öffentliches / privates Schlüsselpaar nicht wirklich verwenden möchten, können Sie ein expectSkript schreiben , um das Kennwort abhängig von der Zieladresse automatisch für Sie einzugeben.

Bearbeiten: Was ich meine ist, dass Sie ein Skript haben können, das expectzum einen das Passwort für Sie eingibt und zum anderen das Passwort für einen bestimmten Benutzer und Host aus einer Konfigurationsdatei liest. Das folgende Python-Skript funktioniert beispielsweise für das Sonnentages-Szenario:

#!/usr/bin/python                                                                                                                        
import argparse
from ConfigParser import ConfigParser
import pexpect

def main(args):
    url = args.url
    user, host = url.split('@', 1)

    cfg_file = 'ssh.cfg'
    cfg = ConfigParser()
    cfg.read(cfg_file)
    passwd = cfg.get(user, host)

    child = pexpect.spawn('ssh {0}'.format(url))
    child.expect('password:')
    child.sendline(passwd)
    child.interact()

if __name__ == '__main__':
    parser = argparse.ArgumentParser(description='Run ssh through pexpect')
    parser.add_argument('url')
    args = parser.parse_args()
    main(args)

und das Konfigurationsdateiformat wäre wie folgt:

[user_1]
host1 = passwd_1
host2 = passwd_2

[user_2]
host1 = passwd_1
host2 = passwd_2

Hinweis: Wie bereits erläutert, müsste das Python-Skript wesentlich komplexer sein, um alle möglichen Fehler- und Fragenachrichten von ssh und alle möglichen URLs zu verarbeiten (im Beispiel wird davon ausgegangen, dass dies in etwa der Fall ist user@host, aber der Benutzerteil ist nicht ' Die meiste Zeit nicht verwendet), aber die Grundidee wäre immer noch die gleiche. In Bezug auf die Konfigurationsdatei können Sie eine andere Konfigurationsdatei verwenden oder .ssh/configIhren eigenen Code verwenden und schreiben, um diese Datei zu analysieren und das Kennwort für einen bestimmten Benutzer und Host abzurufen.

Dafür gibt es auch ein sshpassProgramm. Wie benutzt man: sshpass -p MyPa55word ssh [email protected]

Wie wäre es mit ProxyCommand:

Host Home-raw
    HostName test.com
Host Home
   User netmoon
   Port 22
   ProxyCommand sshpass -pmypass ssh netmoon@%h-raw nc localhost %p

Sie können ssh -Wanstelle von ncauch verwenden:

ProxyCommand sshpass -pmypass ssh netmoon@%h-raw -W localhost:%p

Nein, das ist leider nicht möglich.

Die einzige echte Alternative besteht darin, private Schlüssel zu verwenden, aber Sie haben gesagt, Sie möchten nicht (warum nicht?).

Sie können einen einfachen ssh-Skriptersatz in / usr / local / bin erstellen:

#!/bin/bash

host=$1
password=`awk "/#Password/ && inhost { print \\\$2 } /Host/ { inhost=0 } /Host $host/ { inhost=1 }" ~/.ssh/config`

if [[ -z "$password" ]]; then
  /usr/bin/ssh $*
else
  sshpass -p $password /usr/bin/ssh $*
fi

Und dann können Sie in Ihrer ~ / .ssh / config-Datei verwenden

Host foohost
    User baruser
    #Password foobarpassword

Ich verwende eine Anwendung von VanDyke Software namens SecureCRT .

http://www.vandyke.com/products/securecrt/

Es ist nicht kostenlos, aber sehr günstig. Ich benutze es seit Jahren (unter Windows oder mit Wine) für den Remotezugriff, die Terminalemulation und die (verteilte) Netzwerkverwaltung. Sie veröffentlichten schließlich Anfang 2011 eine native Linux-Version davon.

Es werden komplexe Anmeldeeinstellungen (oder Skripte), gespeicherte Kennwörter (oder Zertifikate), mehrere Sitzungen mit Registerkarten usw. unterstützt.

Beim Start können Sie aus einer strukturierten Liste (Baumansicht) gespeicherter entfernter (oder lokaler) Maschinen auswählen, welches entfernte Ziel (und welches Protokoll) Sie verwenden möchten, oder einfach eine Verbindung erstellen (die dann gespeichert wird).

Ich fand es besonders nützlich für entfernte Standorte mit erweiterter Authentifizierung, nicht standardmäßigen Ports oder Firewall-Zugriffsverhandlungen.

Wenn Sie häufig Fernzugriff durchführen (Teil Ihrer Hauptrolle), rechtfertigt diese Anwendung ihre Kosten im ersten Nutzungsmonat.

Bei Beantwortung der von Ihnen gestellten Frage ist es nicht möglich, ein Standardkennwort in einer ssh-Konfigurationsdatei zu konfigurieren.

Aber wenn es tatsächlich so ist, wie Sie sagen, "weil ich manchmal vom PC wegstehe und wenn ich zurückgehe, ein Passwort eingebe und auf Enterdas Terminal drücke CONNECTION CLOSED" , warum dann nicht stattdessen verhindern, dass die Sitzung geschlossen wird? SSH kann Verbindungen für Sie am Leben erhalten.

Host Home
  User netmoon
  Port 22
  HostName test.com
  ServerAliveInterval 300
  ServerAliveCountMax 2

Danke, Arek für die Inspiration ...

Anstatt einen anderen Shell-Prozess auszuführen, ist dies nur eine Funktion, die in der aktuellen Bash-Shell ausgeführt wird. Es führt einen einzelnen awkBefehl aus, um die Konfigurationsdatei zu analysieren und herauszufinden, ob das Kennwort aus einer Shell-Variablen oder aus dem im Klartext geschriebenen Kennwort in die ssh-Konfigurationsdatei übernommen werden soll (mit awkeiner evalanstelle von describeaufgrund von Problemen getroffenen Verwendung describe).

Ich habe so viele Möglichkeiten ausprobiert, ProxyCommand sshpassdirekt in einer sshKonfigurationsdatei zu verwenden, aber nichts schien wie erwartet zu funktionieren, außer wenn ich mich über RSA an einer Box anmelden konnte. Aber dann musste ich ein Passwort senden, um mein verschlüsseltes Verzeichnis zu öffnen. Die folgende Funktion scheint jedoch in allen Fällen für mich zu funktionieren, auch für Cygwin.

# In your .bash_profile
function ssh(){
    host=$1;
    unset PASSWORD
    unset PASSVAR
    eval $(awk "/ *#[Pp]assvar / && inhost { printf \"PASSVAR=%s\",\$2; exit 1 } / *#[Pp]assword / && inhost { printf \"PASSWORD=%s\",\$2; } /^#?[Hh][oO][sS][tT] / && inhost { inhost=0; exit 1 } /^[Hh][oO][sS][tT] $host\$/ { inhost=1 }" ~/.ssh/config)
    if [[ -z "$PASSWORD" ]] && [[ -z "$PASSVAR" ]]; then
        /usr/bin/ssh -q $* 2>/dev/null
    else
       if [[ -n "$PASSVAR" ]]; then
          PASSWORD=$(TMP=${!PASSVAR-*};echo ${TMP##*-})
       fi
       /usr/local/bin/sshpass -p"$PASSWORD" /usr/bin/ssh -q $* 2>/dev/null
    fi
}
# and setup your passwords (perhaps in .bashrc instead...)
MYPASS_ENVVAR=SomePassword
MYPASSWD_FROM_FILE=$(</home/me/.passwd_in_file)

Dann ~/.ssh/configsieht ein Abschnitt so aus:

Host MyHostname
 Port 22
 Hostname 2.1.2.2
 User merrydan
 #Passvar MYPASS_ENVVAR
 #Password Some!Password

Wenn #Passvar im Konfigurationsabschnitt ein vorhanden ist, wird das überschrieben #Password.
$MYPASS_ENVVARist die Umgebungsvariable, die Ihr Passwort enthält.

Genießen!

Die Antwort von @BrunoPereira auf diese Frage zeigt eine alternative Methode, um eine Verbindung herzustellen, ohne explizit ein Kennwort einzugeben und ohne ssh-Schlüssel.

Sie können ein Skript, einen Alias ​​oder eine Funktion in Ihrem erstellen, ~/.bashrcum diesen Befehl schnell auszuführen.

Offensichtlich gibt es Sicherheitsaspekte, die Sie bei diesem Ansatz berücksichtigen sollten.

Hier ist meine ausführliche Variation der Antwort von @ ArekBurdach. Es bietet folgende Erweiterungen:

• Der Host kann sich an einer beliebigen Stelle in der sshBefehlszeile befinden. dh es unterstützt auch die ssh <args> <host> <commands>Syntax
• Der Pfad zu wird nicht hartcodiert ssh
• robusteres Parsen von ssh_config
• Bonus: Wrapper scpauch dafür

ssh-wrapper

#!/bin/bash

password=$(awk '
BEGIN {
    # Collect the SSH arguments as keys of a dictionary, so that we can easily
    # check for inclusion.
    for (i = 2; i < ARGC; i++) {
        sshArgs[ARGV[i]] = 1
    }

    # Only process the first argument; all others are the command-line arguments
    # given to ssh.
    ARGC = 2
}
$1 == "Password" && inhost { print $2 }
/^\s*Host\s/ {
    if ($2 in sshArgs)
        inhost=1
    else
        inhost=0
}
' ~/.ssh/config "$@")


if [ "$password" ]; then
    sshpass -p "$password" "$(which ssh)" "$@"
else
    "$(which ssh)" "$@"
fi

scp-wrapper

#!/bin/bash

password=$(awk '
BEGIN {
    # Collect the SCP arguments as keys of a dictionary, so that we can easily
    # check for inclusion.
    for (i = 2; i < ARGC; i++) {
        colonIdx = index(ARGV[i], ":")
        if (colonIdx > 0) {
            scpArgs[substr(ARGV[i], 1, colonIdx - 1)] = 1
        }
    }

    # Only process the first argument; all others are the command-line arguments
    # given to scp.
    ARGC = 2
}
$1 == "Password" && inhost { print $2 }
/^\s*Host\s/ {
    if ($2 in scpArgs)
        inhost=1
    else
        inhost=0
}
' ~/.ssh/config "$@")


if [ "$password" ]; then
    sshpass -p "$password" "$(which scp)" "$@"
else
    "$(which scp)" "$@"
fi

Installation

Definieren Sie Aliase in Ihrem ~/.bashrc:

alias ssh=ssh-wrapper
alias scp=scp-wrapper

Aufbau

Beschwert sich mit der IgnoreUnknownDirektive sshnicht über eine neu eingeführte PasswordDirektive, so können wir (im Gegensatz zu @ ArekBurdachs Antwort) diese als "echte" Konfiguration erscheinen lassen. Wenn Ihnen das nicht gefällt, ist es trivial, das Skript wieder in das auskommentierte zu ändern.

# Allow specifying passwords for Host entries, to be parsed by ssh-wrapper.
IgnoreUnknown Password

Host foohost
    User baruser
    Password foobarpassword

Wenn Sie keinen direkten Zugriff auf das Schlüsselpaar haben, können Sie das Kennwort auf Ihrem lokalen Computer verschlüsseln.

Die Möglichkeit besteht darin, Ihr Kennwort zusätzlich zu @Eric Woodruffs ProxyCommand mit einem Schlüssel zu verschlüsseln.

Eine Möglichkeit zum Kombinieren ist die Verwendung von Pipe:

openssl rsautl -decrypt -inkey /path/to/decrypt_key -in /path/to/encrypted_password  | sshpass ssh real-destination -tt

wo

Host real-destination
    Hostname test.com
    User netmoon

Es gibt eine kleine Variante eines im Blog beschriebenen Weges zur Verwendung, sshpass die hier zu finden ist . Vorausgesetzt, Sie haben ein gpg-verschlüsseltes Passwort (wie dies im Blog beschrieben wird), können Sie so etwas tun:

 sshpass -p $(echo $(gpg -d -q .sshpasswd.gpg)) ssh your_desination.xyz

und speichern Sie diesen Befehl einfach als Alias ​​in Ihrem .bashrc.

Wenn Sie durch diese Verbindung tunneln möchten, können Sie so etwas tun

 Host actual_dest
      Hostname actual.dest.xyz
      User username
      ProxyCommand sshpass -p $(echo $(gpg -d -q ~/.sshpasswd.gpg)) \ 
                   ssh your_destination.xyz nc %h %p