Warum benötigt gnome-keyring-daemon den öffentlichen Schlüssel, um die Passphrase zwischenzuspeichern?

8

Ich habe zwei Arch Linux-Maschinen mit praktisch identischem Setup , die beide ausgeführt werden /usr/bin/gnome-keyring-daemon --daemonize --login. Beide haben denselben geheimen SSH-Schlüssel, aber nur einer von ihnen hat den öffentlichen Schlüssel. Auf dem Host mit dem öffentlichen Schlüssel funktioniert der GNOME Keyring-Daemon einwandfrei - ich kann wie erwartet ohne Aufforderung SSH auf andere Computer übertragen. Auf dem Host ohne den öffentlichen Schlüssel scheint GNOME Keyring zu ignorieren, dass ich die Passphrase bereits eingegeben habe , und werde jedes Mal dazu aufgefordert:

$ ls ~/.ssh/id_rsa.pub
ls: cannot access /home/user/.ssh/id_rsa.pub: No such file or directory
$ ssh some-host exit
Enter passphrase for key '/home/user/.ssh/id_rsa':
$ ssh other-host exit
Enter passphrase for key '/home/user/.ssh/id_rsa':

Es ist auch nicht aufgeführt , die Identität , auch nach dem Passwort eingeben:

$ ssh-add -l
The agent has no identities.

Nach dem Kopieren über den öffentlichen Schlüssel werde ich nicht mehr zur Eingabe einer Passphrase aufgefordert. Nach dem anschließenden erneuten Entfernen des öffentlichen Schlüssels ist das Symptom wieder vorhanden. Gibt es einen Grund für dieses Verhalten oder ist es einfach ein Fehler?

l0b0
quelle

Antworten:

3

Auf der Seite SSH-Agent zur Dokumentation des GNOME-Schlüsselbunds :

Der SSH-Agent lädt automatisch Dateien in ~ / .ssh, die entsprechende * .pub-gepaarte Dateien haben. Zusätzliche SSH-Schlüssel können manuell über den Befehl ssh-add geladen und verwaltet werden.

Der GNOME-Schlüsselring wird also id_rsanur geladen , wenn ein entsprechender id_rsa.pubvorhanden ist.

Sie können eine mit ssh-keygenaus der privaten Schlüsseldatei generieren

ssh-keygen -y -f id_rsa  > id_rsa.pub

Wenn Sie nicht möchten, dass der GNOME-Schlüsselring id_rsaautomatisch geladen wird, müssen Sie ihn entfernenid_rsa.pub

Ich kann keine technischen Gründe finden, warum diese Konvention gewählt wurde, aber es ist kein Fehler.

hdorio
quelle
Danke für den Hinweis. Ich bin mir nicht sicher, ob ich damit einverstanden bin, dass es kein Fehler ist.
l0b0
Eine lustige Tatsache, 7 Jahre lang passierte dieses Verhalten zufällig meinen Mitarbeitern. Heute ist es mir passiert und ich habe endlich auf der Dokumentseite angehalten, um alles zu erklären.
Hdorio