מחזיק מפתחות - מקוון בענן

תָכְנִית:

שֵׁם

מחזיק מפתחות - שימוש חוזר ב-ssh-agent ו/או gpg-agent בין התחברות

תַקצִיר

מחזיק מפתחות [ -hklQqV ] [ --clear --confhost --help --ignore-missing --list --noask
--nocolor --nogui --nolock --quick --quiet --גרסה ]
[ --סוכנים רשימה ] [ --ניסיונות NUM ] [ --dir שם הדירוג ]
[ --מנחה שם ] [ --lockwait שניות ] [ --תפסיק אשר ] [ --פסק זמן דקות ] [מקשים... ]

תיאור

מחזיק מפתחות הוא מנהל עבור ssh-agent, בדרך כלל פועל מ- ~/.bash_profile. זה מאפשר שלך
shells ו-cron jobs כדי לשתף בקלות תהליך ssh-agent יחיד. כברירת מחדל, ה-ssh-
הסוכן שהתחיל על ידי מחזיק מפתחות קיים זמן רב וימשיך לפעול, גם לאחר שתעשה זאת
התנתק מהמערכת. אם אתה רוצה לשנות התנהגות זו, עיין ב-
אפשרויות --clear ו --timeout, המתוארות להלן.

כאשר מחזיק מפתחות מופעל, הוא בודק אם יש סוכן ssh פועל, אחרת הוא מתחיל אחד. זה
שומר את משתני הסביבה ssh-agent ל ~/.keychain/${HOSTNAME}-sh, אז
כניסות עוקבות וקונכיות לא אינטראקטיביות כגון משימות cron יכולות למקור את הקובץ ו
ליצור חיבורי ssh ללא סיסמה.

בנוסף, כאשר מחזיק מפתחות פועל, הוא מוודא שקובצי המפתח שצוינו בפקודה-
line ידועים ל-ssh-agent, אחרת הוא טוען אותם, ומבקש ממך סיסמה if
נחוץ. בדרך כלל, קבצי מפתח פרטי מוגדרים לפי שם הקובץ בלבד, ללא נתיב,
למרות שניתן לציין נתיב מוחלט או יחסי לקובץ המפתח הפרטי כ
נו. אם נעשה שימוש רק בשם קובץ מפתח פרטי, שהוא שימוש טיפוסי, מחזיק המפתחות ייראה
עבור קבצי המפתח הפרטי שצוינו ב ~ / .ssh, ~/.ssh2, או עם האפשרות -c/--confhost,
לבדוק את ~ / .ssh / config קובץ והשתמש באפשרות IdentityFile כדי לקבוע את המיקום
של המפתח הפרטי. מפתחות פרטיים יכולים להיות קישורים סימליים למפתח הפרטי בפועל.

מחזיק מפתחות מצפה שקובצי מפתח ציבורי משויכים יתקיימו באותה ספרייה כמו הפרטית
קבצי מפתח, עם סיומת .pub. אם המפתח הפרטי הוא סימלינק, המפתח הציבורי יכול להיות
נמצא לצד ה-Symlink, או באותה ספרייה כמו יעד ה-Symlink (זה
היכולת דורשת שהפקודה 'readlink' תהיה זמינה במערכת.)

כתכונה נוספת, אם למפתח פרטי יש סיומת ".ext", מחזיק המפתחות יחפש
privkey.ext.pub תחילה, ואם לא נמצא, יחפש את privkeyname.pub.

מחזיק מפתחות תומך גם ב-gpg-agent באותם דרכים שבהן נתמך ssh-agent. כברירת מחדל
מחזיק מפתחות מנסה להפעיל את ssh-agent בלבד. אתה יכול לשנות התנהגות זו באמצעות
--אפשרות סוכנים.

מחזיק מפתחות תומך ברוב מערכות ההפעלה דמויות UNIX, כולל Cygwin. זה עובד עם
תואם בורן, תואם csh וקונכיות דגים.

אפשרויות

--סוכנים רשימה
הפעל את הסוכנים הרשומים. כברירת מחדל, מחזיק המפתחות יתחיל את ssh-agent אם הוא נמצא ב
הדרך שלך. הרשימה צריכה להיות מופרדת בפסיקים, למשל "gpg,ssh"

--ניסיונות NUM
נסה מספר פעמים להוסיף מפתחות לפני שתוותר. ברירת המחדל היא 1.

--ברור
מחק את כל המפתחות של ssh-agent. בדרך כלל זה משמש ב-.bash_profile. התיאוריה
מאחורי זה שמחזיק מפתחות צריך להניח שאתה פולש עד שיוכח
אחרת. עם זאת, בעוד אפשרות זו מגבירה את האבטחה, היא עדיין מאפשרת את ה-cron שלך
משרות להשתמש במפתחות ה-ssh שלך כאשר אתה מנותק.

--confhost
כברירת מחדל, מחזיק מפתחות יחפש זוגות מפתחות ב- ~ / .ssh / מַדרִיך. --confhost
האפשרות תודיע למחזיק מפתחות להסתכל פנימה ~ / .ssh / config עבור הגדרות IdentityFile שהוגדרו
עבור מארחים מסוימים, והשתמש בנתיבים אלה כדי לאתר מפתחות.

--לְאַשֵׁר
מפתחות כפופים לאישור אינטראקטיבי על ידי תוכנית SSH_ASKPASS לפני שהם
משמש לאימות. עיין באפשרות -c עבור ssh-add(1).

--מוּחלָט
כל טיעון ל"--dir" מתפרש כמוחלט. התנהגות ברירת המחדל היא ל
הוסף את "/.keychain" לארגומנט לתאימות לאחור.

--dir שם הדירוג
מחזיק מפתחות ישתמש ב-dirname ולא ב-$HOME/.keychain

--שאילתא
מחזיק מפתחות ידפיס שורות בפורמט KEY=value המייצגים את הערכים שנקבעו על ידי
הסוכנים.

--eval
מחזיק מפתחות ידפיס שורות להערכה במעטפת על stdout. זה מכבד את
משתנה סביבה SHELL כדי לקבוע אם צפוי פלט של מעטפת Bourne או C shell.

--env שם הקובץ
לאחר ניתוח אפשרויות, מחזיק מפתחות יטען הגדרות סביבה נוספות מהן
"שם קובץ". כברירת מחדל, אם "--env" לא ניתן, אז מחזיק המפתחות ינסה להיטען
החל מ- ~/.keychain/[hostname]-env או לחלופין ~/.keychain/env. המטרה של זה
הקובץ הוא לעקוף הגדרות כגון PATH, למקרה ש-ssh מאוחסן בקובץ לא סטנדרטי
במקום.

-h - עזרה
הצג עזרה שנראית להפליא כמו דף אדם זה. החל מיום 2.6.10 נשלחת עזרה ל
stdout כך שניתן להעביר אותו בקלות אל איתור.

--מנחה שם
הגדר שם מארח חלופי ליצירת קבצי pid

--התעלם-חסר
אל תזהיר אם לא ניתן למצוא כמה מקשים בשורת הפקודה. זה שימושי עבור
במצבים שבהם יש לך ‎.bash_profile משותף, אך ייתכן שהמפתחות שלך לא יהיו זמינים
בכל מכונה שבה פועל מחזיק מפתחות.

--לָרֶשֶׁת אשר
ניסיון לרשת משתני סוכן מהסביבה. זה יכול להיות שימושי ב
מגוון נסיבות, למשל כאשר ssh-agent מופעל על ידי gdm. הבאים
הערכים תקפים עבור "which":

מקומי יורש כאשר pid (למשל SSH_AGENT_PID) מוגדר בסביבה. זֶה
מונע ירושה של סוכן מועבר.

כל יורש כאשר גרב (למשל SSH_AUTH_SOCK) מוגדר בסביבה. זֶה
מאפשר לרשת סוכן מועבר.

מקומי-פעם זהה ל"מקומי", אבל תורשה רק אם מחזיק המפתחות לא מספק כבר
סוֹכֵן.

כל פעם זהה ל"כל", אבל תורשה רק אם מחזיק המפתחות עדיין לא מספק
סוֹכֵן.

כברירת מחדל, מחזיק מפתחות-2.5.0 ואילך יתנהג כאילו "--herit local-once" הוא
נָקוּב. עליך לציין "--noinherit" אם אתה רוצה את ההתנהגות הישנה יותר.

-l --רשימה
רשום את החתימות של כל מפתחות ה-SSH הפעילים, וצא, בדומה ל-"ssh-add -l".

--המתנה שניות
כמה זמן לחכות עד שהמנעול יהיה זמין. ברירת המחדל היא 5 שניות. ציין א
ערך של אפס או יותר. אם לא ניתן לרכוש את המנעול בתוך המספר שצוין של
שניות, אז תהליך מחזיק המפתחות הזה ירכוש את המנעול בכוח.

--noask
אפשרות זו אומרת למחזיק מפתחות לעשות כל מה שהוא עושה בדרך כלל (וודא ש-ssh-agent כן
פועל, הגדר את ~/.keychain/[שם מארח]-{c}sh files) אלא שהוא לא יבקש
לך להוסיף כל אחד מהמפתחות שציינת אם הם עדיין לא נוספו ל-ssh-agent.

--בלי צבע
השבת הדגשת צבע עבור מונחים שאינם תואמים ANSI.

--נוגי
אל תכבד את SSH_ASKPASS, אם הוא מוגדר. זה יגרום ל-ssh-add להנחות ב-
מסוף במקום להשתמש בתוכנה גרפית.

--ללא ירושה
אל תירש אף תהליכי סוכן, תוך עקיפת ברירת המחדל "--inherit local-once"

--נולוק
אל תנסה להשתמש ב-lockfile תוך כדי מניפולציה של קבצים, pids ומפתחות.

-k --תפסיק אשר
להרוג תהליכים של סוכן שפועלים כרגע. הערכים הבאים תקפים עבור "which":

--systemd
הזרקת משתני סביבה לסשן systemd --user.

הכל הרוג את כל תהליכי הסוכן וצא מצרור המפתחות מיד. קודם ל
keychain-2.5.0, זו הייתה ההתנהגות של אפשרות "--stop" החשופה.

אחרים להרוג תהליכים של סוכן מלבד זה שמחזיק המפתחות מספק. קודם ל
מחזיק מפתחות-2.5.0, מחזיק מפתחות יעשה זאת באופן אוטומטי. ההתנהגות החדשה
מחייב לציין זאת במפורש אם תרצה בכך.

שלי להרוג את תהליכי הסוכנים של מחזיק המפתחות, ולהשאיר סוכנים אחרים לבד.

-Q --מָהִיר
אם פועל תהליך ssh-agent אז השתמש בו. אל תאמת את רשימת המפתחות, אחר
מאשר לוודא שהוא לא ריק. אפשרות זו נמנעת מנעילה במידת האפשר כך
ניתן לפתוח מספר מסופים בו זמנית מבלי לחכות אחד לשני.

-q --שֶׁקֶט
הדפס הודעות רק במקרה של אזהרה, שגיאה או אינטראקטיביות נדרשת. נכון לגרסה
2.6.10, זה גם מדכא הודעות "זהויות שנוספו" עבור ssh-agent.

--פסק זמן דקות
הגדר פסק זמן בדקות על המפתחות שלך. זה מועבר ל-ssh-agent שעושה את
תזמון בפועל של המפתחות מכיוון שמחזיק המפתחות אינו פועל ברציפות.

-V --גִרְסָה
הצג מידע על גרסה.

דוגמאות

קטע זה אמור לעבוד ברוב הקונכיות כדי לטעון שני מפתחות ssh ומפתח gpg אחד:

eval `מחזיק מפתחות --eval id_rsa id_dsa 0123ABCD`

עבור קונכיית הדג, השתמש בפורמט הבא:

אם הסטטוס --הוא-אינטראקטיבי
מחזיק מפתחות --eval --quiet -Q id_rsa | מָקוֹר
סוף

אם יש לך בעיה עם זה ב-csh:

setenv SHELL /bin/csh
eval `מחזיק מפתחות --eval id_rsa id_dsa 0123ABCD`

זה שווה ערך עבור קונכיות בורן (כולל bash ו-zsh) אבל לא משתמש במחזיקי מפתחות
-- תכונת eval:

מחזיק מפתחות id_rsa id_dsa 0123ABCD
[ -z "$HOSTNAME" ] && HOSTNAME=`uname -n`
[ -f $HOME/.keychain/$HOSTNAME-sh ] && \
. $HOME/.keychain/$HOSTNAME-sh
[ -f $HOME/.keychain/$HOSTNAME-sh-gpg ] && \
. $HOME/.keychain/$HOSTNAME-sh-gpg

זה שווה ערך עבור C shell (כולל tcsh):

מחזיק מפתחות id_rsa id_dsa 0123ABCD
host=`uname -n`
if (-f $HOME/.keychain/$host-csh) אז
מקור $HOME/.keychain/$host-csh
ח
if (-f $HOME/.keychain/$host-csh-gpg) אז
מקור $HOME/.keychain/$host-csh-gpg
ח

לטעון משתני מחזיק מפתחות מסקריפט (למשל מ-cron) ולבטל אלא אם כן id_dsa
זמין:

# טען משתני מחזיק מפתחות ובדוק אם יש id_dsa
[ -z "$HOSTNAME" ] && HOSTNAME=`uname -n`
. $HOME/.keychain/$HOSTNAME-sh 2>/dev/null
ssh-add -l 2>/dev/null | grep -q id_dsa || יציאה 1

השתמש במחזיק מפתחות באינטרנט באמצעות שירותי onworks.net