[sisyphus] GNOME? ssh?

[sisyphus] GNOME? ssh?

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 1032 bytes --]

Hi,
Сейчас хотел соединиться с сервером по ssh. После "знакомства" с
сервером вдруг вылетела какая-то форма с запросом пароля для
разблокирования ключа id-dsa т.к. система хочет импортировать
частный ключ.
Кто что и куда хочет импортировать и какой оно хочет пароль? Ни
хрена не понимаю... А без введения пароля не хочет соединяться...
Первый раз вижу такое поведение... :(
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] GNOME? ssh?

[Anton Farygin]

Andrii Dobrovol`s`kii пишет:
> Hi,
> Сейчас хотел соединиться с сервером по ssh. После "знакомства" с
> сервером вдруг вылетела какая-то форма с запросом пароля для
> разблокирования ключа id-dsa т.к. система хочет импортировать
> частный ключ.
> Кто что и куда хочет импортировать и какой оно хочет пароль? Ни
> хрена не понимаю... А без введения пароля не хочет соединяться...
> Первый раз вижу такое поведение... :(

Наверное пароль на ключ, а добавить хочет в ssh-agent ?

man ssh-agent

Re: [sisyphus] GNOME? ssh?

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 1027 bytes --]

Anton Farygin пишет:
> Andrii Dobrovol`s`kii пишет:
>> Hi,
>> Сейчас хотел соединиться с сервером по ssh. После "знакомства" с
>> сервером вдруг вылетела какая-то форма с запросом пароля для
>> разблокирования ключа id-dsa т.к. система хочет импортировать
>> частный ключ.
>> Кто что и куда хочет импортировать и какой оно хочет пароль? Ни
>> хрена не понимаю... А без введения пароля не хочет соединяться...
>> Первый раз вижу такое поведение... :(
> 
> Наверное пароль на ключ, а добавить хочет в ssh-agent ?
> 
> man ssh-agent
Так какой ключ и куда добавить? Я хожу на сторонние машины по
паролю... Куда оно лезет, да ещё и к частному ключу?..
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] GNOME? ssh?

[Ildar Mulyukov]

On 04.08.2008 15:23:51, Andrii Dobrovol`s`kii wrote:
> Hi,
> Сейчас хотел соединиться с сервером по ssh. После "знакомства" с
> сервером вдруг вылетела какая-то форма с запросом пароля для
> разблокирования ключа id-dsa т.к. система хочет импортировать
> частный ключ.
> Кто что и куда хочет импортировать и какой оно хочет пароль? Ни
> хрена не понимаю... А без введения пароля не хочет соединяться...
> Первый раз вижу такое поведение... :(

Welcome! :-)

новость для Вас следующая: теперь GNOME seahorse умеет работать в  
должности ssh-agent. Отсюда диалог с запросом "система хочет  
импортировать частный ключ".

В Вашем случае, видимо, сервер хочет авторизацию по ключу, а Ваш новый  
"агент" думает, что этот ключ находится в id-dsa и просит пароль.

Думаю, так.. А почему не работает без введения пароля - не знаю.
-- 
Ildar  Mulyukov,  free SW designer/programmer/packager
=========================================
email: ildar@altlinux.ru
Jabber: ildar@jabber.ru
ICQ: 4334029
ALT Linux Sisyphus http://www.sisyphus.ru
=========================================

Re: [sisyphus] GNOME? ssh?

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 1703 bytes --]

Ildar Mulyukov пишет:
> On 04.08.2008 15:23:51, Andrii Dobrovol`s`kii wrote:
>> Hi,
>> Сейчас хотел соединиться с сервером по ssh. После "знакомства" с
>> сервером вдруг вылетела какая-то форма с запросом пароля для
>> разблокирования ключа id-dsa т.к. система хочет импортировать
>> частный ключ.
>> Кто что и куда хочет импортировать и какой оно хочет пароль? Ни
>> хрена не понимаю... А без введения пароля не хочет соединяться...
>> Первый раз вижу такое поведение... :(
> 
> Welcome! :-)
> 
> новость для Вас следующая: теперь GNOME seahorse умеет работать в
> должности ssh-agent. Отсюда диалог с запросом "система хочет
> импортировать частный ключ".
Да, поведение очень похожее на ssh-agent. Только лучше бы оно не
самовольничало а спрашивало нужно ли это поведение...
> 
> В Вашем случае, видимо, сервер хочет авторизацию по ключу, а Ваш новый
> "агент" думает, что этот ключ находится в id-dsa и просит пароль.
> 
Сервер не просит ключа. Вход по паролю. Но в папке есть один id-dsa.
От экспериментов с попытками настроить доступ в одно место по ключу.
похоже оно просто сканирует каталог и найдя этот ключ пытается его
импортировать на всякий случай...
> Думаю, так.. А почему не работает без введения пароля - не знаю.
Со второй попытки прорвался без пароля... Но нужно это как-то
"цивилизовать"...
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] GNOME? ssh?

[Alexey Shabalin]

4 августа 2008 г. 13:23 пользователь Andrii Dobrovol`s`kii написал:
> Hi,
> Сейчас хотел соединиться с сервером по ssh. После "знакомства" с
> сервером вдруг вылетела какая-то форма с запросом пароля для
> разблокирования ключа id-dsa т.к. система хочет импортировать
> частный ключ.
> Кто что и куда хочет импортировать и какой оно хочет пароль? Ни
> хрена не понимаю... А без введения пароля не хочет соединяться...
> Первый раз вижу такое поведение... :(

просто нажмите "отмена" (это происходит потому что у вас есть хотябы
один приватный ключ), и получите запрос на ввод пароля в консоли.


-- 
Alexey Shabalin

Re: [sisyphus] GNOME? ssh?

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 486 bytes --]

* Andrii Dobrovol`s`kii <dobr@> [080804 14:34]:
> Сервер не просит ключа. Вход по паролю. Но в папке есть один id-dsa.
> От экспериментов с попытками настроить доступ в одно место по ключу.
> похоже оно просто сканирует каталог и найдя этот ключ пытается его
> импортировать на всякий случай...
Вообще, в приличном обществе за такое бьют канделябром.  Ключ в
агента должен добавляться руками.  Если оно так самовольничает,
это уже тянет на blocker.

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] GNOME? ssh?

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 952 bytes --]

Dmitriy Kruglikov пишет:
> 4 августа 2008 г. 13:15 пользователь Andrii Dobrovol`s`kii  написал:
> 
>     Но в папке есть один id-dsa.
>     От экспериментов с попытками настроить доступ в одно место по ключу.
>     похоже оно просто сканирует каталог и найдя этот ключ пытается его
>     импортировать на всякий случай...
> 
> "Отодвинуть" ключик и попробовать снова ...
> Сгенерить новый, без пароля, и попробовать снова ...
> Или сгенерить новый, с паролем, и путь импортирует, если ему так уж
> хочется...
> 
Это всё понятно. Но! Это всё сервис которого не заказывали...
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] GNOME? ssh?

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 927 bytes --]

Alexey I. Froloff пишет:
> * Andrii Dobrovol`s`kii <dobr@> [080804 14:34]:
>> Сервер не просит ключа. Вход по паролю. Но в папке есть один id-dsa.
>> От экспериментов с попытками настроить доступ в одно место по ключу.
>> похоже оно просто сканирует каталог и найдя этот ключ пытается его
>> импортировать на всякий случай...
> Вообще, в приличном обществе за такое бьют канделябром.  Ключ в
> агента должен добавляться руками.  Если оно так самовольничает,
> это уже тянет на blocker.
> 
Прежде чем вешать, хотелось бы услышать отзывы от остальных...
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] GNOME? ssh?

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 1062 bytes --]

Alexey Shabalin пишет:
> 4 августа 2008 г. 13:23 пользователь Andrii Dobrovol`s`kii написал:
>> Hi,
>> Сейчас хотел соединиться с сервером по ssh. После "знакомства" с
>> сервером вдруг вылетела какая-то форма с запросом пароля для
>> разблокирования ключа id-dsa т.к. система хочет импортировать
>> частный ключ.
>> Кто что и куда хочет импортировать и какой оно хочет пароль? Ни
>> хрена не понимаю... А без введения пароля не хочет соединяться...
>> Первый раз вижу такое поведение... :(
> 
> просто нажмите "отмена" (это происходит потому что у вас есть хотябы
> один приватный ключ), и получите запрос на ввод пароля в консоли.
> 
> 
Жал. Пока не убил окно оно не сдавалось...
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] GNOME? ssh?

[Mikhail Gusarov]

[-- Attachment #1: Type: text/plain, Size: 522 bytes --]

Twas brillig at 13:59:48 04.08.2008 UTC+03 when dobr@iop.kiev.ua did gyre and gimble:

 AD> Прежде чем вешать, хотелось бы услышать отзывы от остальных...

Поиск ключей (особенно если он не отключается очевидным способом, типа
кнопки "не хочу, и больше не пытайся само искать ключи" в том же
диалоговом окне) - и правда blocker.

-- 

[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]

Re: [sisyphus] GNOME? ssh?

[Alexander Bokovoy]

2008/8/4 Dmitriy Kruglikov <dmitriy.kruglikov@gmail.com>:
>
>
> 4 августа 2008 г. 13:58 пользователь Andrii Dobrovol`s`kii  написал:
>>
>> >
>> Это всё понятно. Но! Это всё сервис которого не заказывали...
>
> Что да, то да ...
> Тут про канделябр весьма уместно вспоминали ...
> Но дальше обсуждать уже не интересно будет ...
> Багу повесить, и всех делов ...
>
> У меня вот Evolution почему-то требует пароль при старте XFCE, ежедневно,
> хотя я один раз запустил ее для проверки компатибельности с новым сервером
Потому что он положил в хранитель паролей данные для доступа к
почтовым серверам и при старте приложения хочет их из хранителя
паролей доставать. Соответственно, хранитель паролей спрашивает
разрешение на разблокирование хранилища (раз за сеанс). Любые другие
приложения, использующие хранилище паролей, будут вести себя
совершенно также. Только если они запущены уже после разблокирования,
то пароль спрашиваться не будет.

-- 
/ Alexander Bokovoy

Re: [sisyphus] GNOME? ssh?

[Alexander Bokovoy]

2008/8/4 Dmitriy Kruglikov <dmitriy.kruglikov@gmail.com>:
> (Могу даже точно список указать, если оно кому-то нужно)
> Оно и просит доступ к хранилищу ...
> И я прекрасно понимаю, что это сохранение сессии XFCE чудит ...
> И даже особого обсуждения не планировал на эту тему ...
> Просто привел как образец излишней "услужливости" системы ...
> Даже готов согласиться, что пример был не самый лучший ...
>
> За тему "Гнома и SSH" выходить не будем ?
Я был бы не против, если бы мы смогли четко описать "use cases",
которые бы хотелось видеть реализованными в рамках ALT Linux Team, вне
зависимости от того, какая конкретная оболочка применяется. Как по
мне, так логика поведения должне не зависеть от того, используется ли
хранитель паролей в KDE, GNOME или других средах. Логика должна быть
единая и четко задокументированная.


-- 
/ Alexander Bokovoy

Re: [sisyphus] GNOME? ssh?

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 1555 bytes --]

Alexander Bokovoy пишет:
> 2008/8/4 Dmitriy Kruglikov <dmitriy.kruglikov@gmail.com>:
>> (Могу даже точно список указать, если оно кому-то нужно)
>> Оно и просит доступ к хранилищу ...
>> И я прекрасно понимаю, что это сохранение сессии XFCE чудит ...
>> И даже особого обсуждения не планировал на эту тему ...
>> Просто привел как образец излишней "услужливости" системы ...
>> Даже готов согласиться, что пример был не самый лучший ...
>>
>> За тему "Гнома и SSH" выходить не будем ?
> Я был бы не против, если бы мы смогли четко описать "use cases",
> которые бы хотелось видеть реализованными в рамках ALT Linux Team, вне
> зависимости от того, какая конкретная оболочка применяется. Как по
> мне, так логика поведения должне не зависеть от того, используется ли
> хранитель паролей в KDE, GNOME или других средах. Логика должна быть
> единая и четко задокументированная.
> 
> 
Я двумя руками за.
Оно должно быть управляемым. Оно может первый раз стартануть
автоматом при наличии возможности сразу же сказать ему чтоб не
высовывалось и ручного запуска когда потом понадобится. И оно должно
четко сообщать что за ключ и по какому поводу оно пытается
импортировать.
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] GNOME? ssh?

[Alexander Bokovoy]

2008/8/4 Dmitriy Kruglikov <dmitriy.kruglikov@gmail.com>:
> 4 августа 2008 г. 15:21 пользователь Alexander Bokovoy  написал:
>>
>> Я был бы не против, если бы мы смогли четко описать "use cases",
>> которые бы хотелось видеть реализованными в рамках ALT Linux Team, вне
>> зависимости от того, какая конкретная оболочка применяется. Как по
>> мне, так логика поведения должне не зависеть от того, используется ли
>> хранитель паролей в KDE, GNOME или других средах. Логика должна быть
>> единая и четко задокументированная.
>
>
> Мне кажется,  что пароль к чему-либо должен запрашиваться системой тогда,
> и только тогда, когда пользователь самостоятельно затребовал данный ресурс.
> При этом, в окне запроса пароля должно быть четко и наглядно показано,
> какая программа, для доступа к какому ресурсу требует пароль.
> И пользователь должен иметь полную информацию для принятия решений о
> предоставлении пароля или для отказа.
>
> Во всех других случаях есть ненулевая вероятность предоставления пароля
> какому-либо вредоносному ПО, которое может появиться в любое время,
> даже если сегодня его нет в природе.
Текущая реализация хранителя паролей в GNOME построена следующим
образом. Есть глобальный пароль на хранилище, отпираемый при первичном
обращении к хранилищу в сессии. Хранитель также по умолчанию негативно
относится к запросам приложений на доступ к информации в хранилище и
на каждое такое обращение выкидывает диалоговый запрос к пользователю.
Если пользователь разрешил обращение (однократно или на все время, это
прямо спрашивается в диалоге), то обращение разрешается. Если был
наложен запрет, то доступ к данным запрещается. Приложение вправе
попросить данные заново, но тогда (если не было постоянного разрешения
для этого приложения обращаться к конкретным данным) пользователь
снова будет поставлен в известность и должен будет сделать выбор.

То есть, текущая система вполне хорошо организована, другое дело, что
не очень хорошо это видно пользователю.

-- 
/ Alexander Bokovoy

Re: [sisyphus] GNOME? ssh?

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 2516 bytes --]

Alexander Bokovoy пишет:
> 2008/8/4 Dmitriy Kruglikov <dmitriy.kruglikov@gmail.com>:
>> 4 августа 2008 г. 15:21 пользователь Alexander Bokovoy  написал:
>>> Я был бы не против, если бы мы смогли четко описать "use cases",
>>> которые бы хотелось видеть реализованными в рамках ALT Linux Team, вне
>>> зависимости от того, какая конкретная оболочка применяется. Как по
>>> мне, так логика поведения должне не зависеть от того, используется ли
>>> хранитель паролей в KDE, GNOME или других средах. Логика должна быть
>>> единая и четко задокументированная.
>>
>> Мне кажется,  что пароль к чему-либо должен запрашиваться системой тогда,
>> и только тогда, когда пользователь самостоятельно затребовал данный ресурс.
>> При этом, в окне запроса пароля должно быть четко и наглядно показано,
>> какая программа, для доступа к какому ресурсу требует пароль.
>> И пользователь должен иметь полную информацию для принятия решений о
>> предоставлении пароля или для отказа.
>>
>> Во всех других случаях есть ненулевая вероятность предоставления пароля
>> какому-либо вредоносному ПО, которое может появиться в любое время,
>> даже если сегодня его нет в природе.
> Текущая реализация хранителя паролей в GNOME построена следующим
> образом. Есть глобальный пароль на хранилище, отпираемый при первичном
> обращении к хранилищу в сессии. Хранитель также по умолчанию негативно
> относится к запросам приложений на доступ к информации в хранилище и
> на каждое такое обращение выкидывает диалоговый запрос к пользователю.
> Если пользователь разрешил обращение (однократно или на все время, это
> прямо спрашивается в диалоге), то обращение разрешается. Если был
> наложен запрет, то доступ к данным запрещается. Приложение вправе
> попросить данные заново, но тогда (если не было постоянного разрешения
> для этого приложения обращаться к конкретным данным) пользователь
> снова будет поставлен в известность и должен будет сделать выбор.
> 
> То есть, текущая система вполне хорошо организована, другое дело, что
> не очень хорошо это видно пользователю.
> 
С этим я не сталкивался. Тут речь идет об импорте частных ключей.
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] GNOME? ssh?

[Alexander Bokovoy]

2008/8/4 Dmitriy Kruglikov <dmitriy.kruglikov@gmail.com>:
>> То есть, текущая система вполне хорошо организована, другое дело, что
>> не очень хорошо это видно пользователю.
>>
> Похоже, что для "вполне хорошо" осталось только сформировать более
> информативные диалоги...
> И на разблокировку основного хранилища, и на каждое обращение приложений к
> своим ключам.
Предложения по внятному оформлению диалогов можно было бы вешать в
багзилу как FR, чтобы затем эту работу можно было бы координировать.

> И, вероятно, нужно сохранить режим без какого-либо центрального хранилища.
> Я, например, старый параноик, предпочел бы каждый раз вводить пароли, четко
> осознавая,
> кто, куда и зачем авторизуется.
> Предположим, у меня много точек, доступ к которым крайне ограничен и пароли
> не должны храниться даже в моей голове, не говоря уже о железке, которую
> могут попросту свистнуть.
По-моему, все это сейчас настраивается через gconf, вот только найти я не могу.


-- 
/ Alexander Bokovoy

Re: [sisyphus] GNOME? ssh?

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 1431 bytes --]

Dmitriy Kruglikov пишет:
> 4 августа 2008 г. 15:50 пользователь Andrii Dobrovol`s`kii написал
>>
>С этим я не сталкивался. Тут речь идет об импорте частных ключей.
> 
> Скорее не об импорте, а о подготовке вашего ключа к использованию ...
> То есть, система просит у вас ключевую фразу, которая должна быть запрошена
> непосредственно в момент обращения к данному ресурсу, но не прям с порога :)
>
В моем случае окно было об импорте. Вылетает оно при открытии ssh
сессии и хочет импортировать ключ не имеющий никакого отношения к
текущей сессии. Ибо в это место доступ не по ключу а по паролю.

> Например:
>> ssh git.alt
> Enter passphrase for key '/home/L_user/.ssh/alt_dsa':
> 
> Вот тут и нужно фразу спросить, и, черт с ней, предложить сохранить в
> хранилище,
> если я через N минут опять туда же соберусь.
> Как вариант, созранить до конца _текущего_ сеанса...
> Тут даже я бы согласился.
> Или на M минут ... Это мне даже понравилось бы.
> 
Это не паранойя а нормальное поведение программы работающей с
конфиденциальной информацией.
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] GNOME? ssh?

[Ildar Mulyukov]

On 04.08.2008 16:15:53, Andrii Dobrovol`s`kii wrote:
> Сервер не просит ключа. Вход по паролю.
Ха! запустите ssh -v и заберите свои слова обратно ;-)

С уважением,
-- 
Ildar  Mulyukov,  free SW designer/programmer/packager
=========================================
email: ildar@altlinux.ru
Jabber: ildar@jabber.ru
ICQ: 4334029
ALT Linux Sisyphus http://www.sisyphus.ru
=========================================