From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Thu, 4 Mar 2004 18:59:29 +0200 (EET) From: Andrei Bulava X-X-Sender: ab@devel.office To: ALT Devel discussion list Subject: Re: [devel] =?koi8-r?B?5M/CwdfJ1Nggzs/X?= =?koi8-r?B?2cog0MHLxdQga2V5Y2hhaW4g1w==?= Sisyphus (fwd) In-Reply-To: <20040304132243.GB18035@basalt.office.altlinux.org> Message-ID: References: <20040304132243.GB18035@basalt.office.altlinux.org> MIME-Version: 1.0 Content-Type: TEXT/PLAIN; charset=koi8-r Content-Transfer-Encoding: 8BIT X-BeenThere: devel@altlinux.ru X-Mailman-Version: 2.1.4 Precedence: list Reply-To: ALT Devel discussion list List-Id: ALT Devel discussion list List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 04 Mar 2004 16:59:32 -0000 Archived-At: List-Archive: List-Post: On Thu, 4 Mar 2004, Dmitry V. Levin wrote: > Я не улавливаю, зачем про каждый новый пакет спрашивать > incoming@? :-))) ответ, на мой взгляд, должен быть занесен в fortunes-ALT, но как его понимать мне? Первое, что приходит в голову - истолковать ваш риторический вопрос в свою пользу, т.е. залить keychain в /incoming/Sisyphus/BTE несмотря на > Что касается моего личного мнения, то я активно использую ssh > agent и при этом считаю keychain совершенно ненужным > изобретением. Вот прямо сейчас у меня открыта ssh сессия на шлюз, с которого я достаточно часто и в разные места хожу по ssh. Я не знаю, как мне задействовать ssh-agent и при этом иметь возможность не держать постоянно открытой сессию на шлюз. keychain позволяет мне не задумываясь открывать / закрывать сессию на шлюз тогда, когда мне это удобно. > Что касается ввода пароля и подтверждения разрешения > использования ключа, то я настоятельно рекомендую ознакомиться > с этим советом: > http://www.mindrot.org/pipermail/openssh-unix-dev/2004-February > /020641.html Если я правильно понял, то речь идёт о полезности использования "ssh-add -c". На мой взгляд, вопросы о пользе keychain и пользе "ssh-add -c" находятся в ортогональных плоскостях. ssh-agent, в который добавлена identity с опцией "-c", ведёт себя точно также, как если бы я просто не использовал ssh-agent, а держал запароленный приватный ключ в домашней директории или в любом другом месте файловой системы. Случай "ssh-add -c" даёт мне возможность не держать приватный ключ на ФС, а загнать его в память. Ещё раз: при использовании keychain я смогу добавить ключ через "ssh-add -c" и спрятать носитель с приватным ключом до тех пор, пока не будет остановлен keychain. cron задачи - отдельная история, для них, как правило, заводятся ключи, помещаемые в authorized_keys[2] с опцией command. Тем не менее, это ещё не повод для того, чтоб делать такие ключи беспарольными. Есть некоторая разница в уровне квалификации, необходимом для получения прав root с перезагрузкой системы или без таковой. Во втором случае, конечно, проблема при использовании keychain проявится. С беспарольным ключом она проявится в обоих. Есть ещё и третий случай - смотреть http://www.kde.org/history/rms.php по ключевому слову passwords. Лично я не до конца разделяю оптимизм Столлмэна и предпочитаю при использовании cvs over ssh висящий в памяти ssh-agent с расшифрованным ключом, а не забивать пароль в услужливую среду разработки. А вводить пароль при каждом обращении к cvs мне бы пришлось слишком часто. // AB1002-UANIC