From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <manowar@altlinux.org>
Message-ID: <4B541D43.804@altlinux.org>
Date: Mon, 18 Jan 2010 11:35:15 +0300
From: Paul Wolneykien <manowar@altlinux.org>
Organization: ALT Linux
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US;
	rv:1.9.1.5pre) Gecko/20091019 Thunderbird/3.0pre
MIME-Version: 1.0
To: sisyphus@lists.altlinux.org
References: <4B50E156.30703@altlinux.org>
	<20100115220256.GA18101@wo.int.altlinux.org>
In-Reply-To: <20100115220256.GA18101@wo.int.altlinux.org>
Content-Type: text/plain; charset=windows-1251; format=flowed
Content-Transfer-Encoding: 8bit
Subject: Re: [sisyphus]
 =?windows-1251?b?0//n4ujsIOvoIFNTSC1BZ2VudCDiIPHv//nl?=
 =?windows-1251?b?7CDw5ebo7OU/?=
X-BeenThere: sisyphus@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Sisyphus discussions <sisyphus@lists.altlinux.org>
List-Id: ALT Linux Sisyphus discussions <sisyphus.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/sisyphus>,
	<mailto:sisyphus-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sisyphus>
List-Post: <mailto:sisyphus@lists.altlinux.org>
List-Help: <mailto:sisyphus-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Mon, 18 Jan 2010 08:38:02 -0000
Archived-At: <http://lore.altlinux.org/sisyphus/4B541D43.804@altlinux.org/>
List-Archive: <http://lore.altlinux.org/sisyphus/>
List-Post: <mailto:sisyphus@altlinux.ru>

16.01.2010 01:02, Dmitry V. Levin пишет:
> On Sat, Jan 16, 2010 at 12:42:46AM +0300, Paul Wolneykien wrote:
>>    Всем привет,
>>
>>    Насколько я понимаю, пока ssh-agent активен
>>    пароль может быть получен путём чтения
>> ОЗУ. Однако это достаточно экзотическая
>> ситуация. Но что происходит, когда образ
>> ОЗУ записывается на диск во время
>> перехода в спящий режим (hibernation)? Скорее
>> всего пароль может быть получен из этого
>> образа.
>>    Во избежение этого, gnome-keyring кажется
>>    переводится в "закрытый" режим перед
>> переходом в спящий режим.
>
> Интересно, что представляет из себя этот закрытый режим?

   Думаю, что это как раз lock with a password.

>
>> А что умеет в этом плане ssh-agent?
>
> Самый безопасный вариант:
> ssh-add -D: Deletes all identities from the agent.

   Так может быть слать эту команду всем агентам из hibernate script?
В том смысле, что давайте сделаем это штатным режимом.

>
> Вариант, который в перспективе будет более-менее безопасным:
> ssh-add -x: Lock the agent with a password.
>
> Сейчас этот пароль не используется для зашифровывания памяти,
> однако в перспективе это может измениться:
> http://git.altlinux.org/people/ldv/packages/?p=openssh.git;a=blob;f=openssh/ssh-agent.c#l572