* [Sysadmins] ssh_config - ForwardAgent
@ 2009-07-01 9:06 Mikhail A. Pokidko
2009-07-01 11:54 ` Ivan Fedorov
0 siblings, 1 reply; 10+ messages in thread
From: Mikhail A. Pokidko @ 2009-07-01 9:06 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Поправьте меня, пожалуйста, если я неправильно понимаю опцию
ForwardAgent no в ssh_config как явное запрещение любого форвардинга.
Т.е должна быть нерабочей схема
host1 $ ssh-add .ssh/id_dsa
host1 $ ssh host2
host2 $ ssh host3
host3 $
На этапе "host2 $ ssh host3" должен спрашиваться пароль/пароль к ключу
при ForwardAgent no в host2:/etc/openssh/ssh_config, правильно?
Или это целиком и полностью зависит от настроек на host1, что как-то
неправильно ?
--
xmpp: pma AT altlinux DOT org
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] ssh_config - ForwardAgent
2009-07-01 9:06 [Sysadmins] ssh_config - ForwardAgent Mikhail A. Pokidko
@ 2009-07-01 11:54 ` Ivan Fedorov
2009-07-01 12:02 ` Mikhail A. Pokidko
0 siblings, 1 reply; 10+ messages in thread
From: Ivan Fedorov @ 2009-07-01 11:54 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 941 bytes --]
"Mikhail A. Pokidko"
<mikhail.pokidko-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org> writes:
> Поправьте меня, пожалуйста, если я неправильно понимаю опцию
> ForwardAgent no в ssh_config как явное запрещение любого форвардинга.
>
> Т.е должна быть нерабочей схема
> host1 $ ssh-add .ssh/id_dsa
> host1 $ ssh host2
> host2 $ ssh host3
> host3 $
>
> На этапе "host2 $ ssh host3" должен спрашиваться пароль/пароль к ключу
> при ForwardAgent no в host2:/etc/openssh/ssh_config, правильно?
> Или это целиком и полностью зависит от настроек на host1, что как-то
> неправильно ?
Может там уже что-то добавлено на host2? попробуйте сделать:
host2 $ ssh-add -D
[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] ssh_config - ForwardAgent
2009-07-01 11:54 ` Ivan Fedorov
@ 2009-07-01 12:02 ` Mikhail A. Pokidko
2009-07-01 12:08 ` Ivan Fedorov
2009-07-01 12:17 ` Alexey I. Froloff
0 siblings, 2 replies; 10+ messages in thread
From: Mikhail A. Pokidko @ 2009-07-01 12:02 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
> Может там уже что-то добавлено на host2? попробуйте сделать:
>
> host2 $ ssh-add -D
Почистило identity на host1.
на host1 в ~/.ssh/config стоит ForwardAgent yes
Хочется, чтобы при forwardAgent no на host2, не форвардило агент при
любых локальных настройках на первом хосте.
--
xmpp: pma AT altlinux DOT org
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] ssh_config - ForwardAgent
2009-07-01 12:02 ` Mikhail A. Pokidko
@ 2009-07-01 12:08 ` Ivan Fedorov
2009-07-01 12:17 ` Alexey I. Froloff
1 sibling, 0 replies; 10+ messages in thread
From: Ivan Fedorov @ 2009-07-01 12:08 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 770 bytes --]
"Mikhail A. Pokidko"
<mikhail.pokidko-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org> writes:
>> Может там уже что-то добавлено на host2? попробуйте сделать:
>>
>> host2 $ ssh-add -D
>
> Почистило identity на host1.
> на host1 в ~/.ssh/config стоит ForwardAgent yes
>
> Хочется, чтобы при forwardAgent no на host2, не форвардило агент при
> любых локальных настройках на первом хосте.
так вам же надо менять настройки в sshd, а он лежит в /etc. То, что
лежит в $HOME - это конфиг для ssh (клиента), и он никак не влияет на
сервер.
[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] ssh_config - ForwardAgent
2009-07-01 12:02 ` Mikhail A. Pokidko
2009-07-01 12:08 ` Ivan Fedorov
@ 2009-07-01 12:17 ` Alexey I. Froloff
2009-07-01 12:42 ` Mikhail A. Pokidko
1 sibling, 1 reply; 10+ messages in thread
From: Alexey I. Froloff @ 2009-07-01 12:17 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 295 bytes --]
On Wed, Jul 01, 2009 at 04:02:56PM +0400, Mikhail A. Pokidko wrote:
> Хочется, чтобы при forwardAgent no на host2, не форвардило агент при
> любых локальных настройках на первом хосте.
Ну так он и не будет форвардить ображения с host3, если туда
пойти с host2.
--
Regards,
Sir Raorn.
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] ssh_config - ForwardAgent
2009-07-01 12:17 ` Alexey I. Froloff
@ 2009-07-01 12:42 ` Mikhail A. Pokidko
2009-07-01 12:47 ` Alexey I. Froloff
0 siblings, 1 reply; 10+ messages in thread
From: Mikhail A. Pokidko @ 2009-07-01 12:42 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
2009/7/1 Alexey I. Froloff <raorn@altlinux.org>:
> On Wed, Jul 01, 2009 at 04:02:56PM +0400, Mikhail A. Pokidko wrote:
>> Хочется, чтобы при forwardAgent no на host2, не форвардило агент при
>> любых локальных настройках на первом хосте.
> Ну так он и не будет форвардить ображения с host3, если туда
> пойти с host2.
Да не с host3.
Мне надо, чтобы даже при ForwardAgent yes на host1, не подцеплялся
агент при заходе с host2 на host3.
--
xmpp: pma AT altlinux DOT org
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] ssh_config - ForwardAgent
2009-07-01 12:42 ` Mikhail A. Pokidko
@ 2009-07-01 12:47 ` Alexey I. Froloff
2009-07-01 12:49 ` Mikhail A. Pokidko
0 siblings, 1 reply; 10+ messages in thread
From: Alexey I. Froloff @ 2009-07-01 12:47 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 306 bytes --]
On Wed, Jul 01, 2009 at 04:42:26PM +0400, Mikhail A. Pokidko wrote:
> Мне надо, чтобы даже при ForwardAgent yes на host1, не подцеплялся
> агент при заходе с host2 на host3.
Ну, ns@ тебе уже ответил. Не бывает.
P.S. Есть no-agent-forwarding в aythorized_keys, sshd(8).
--
Regards,
Sir Raorn.
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] ssh_config - ForwardAgent
2009-07-01 12:47 ` Alexey I. Froloff
@ 2009-07-01 12:49 ` Mikhail A. Pokidko
2009-07-01 14:13 ` Ivan Fedorov
0 siblings, 1 reply; 10+ messages in thread
From: Mikhail A. Pokidko @ 2009-07-01 12:49 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
2009/7/1 Alexey I. Froloff <raorn@altlinux.org>:
> On Wed, Jul 01, 2009 at 04:42:26PM +0400, Mikhail A. Pokidko wrote:
>> Мне надо, чтобы даже при ForwardAgent yes на host1, не подцеплялся
>> агент при заходе с host2 на host3.
> Ну, ns@ тебе уже ответил. Не бывает.
Ну я же помнил, что что-то такое есть))
> P.S. Есть no-agent-forwarding в aythorized_keys, sshd(8).
Да!! Именно то, что нужно!
(Надо открыть соседнее окно и сказать спасибо)
--
xmpp: pma AT altlinux DOT org
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] ssh_config - ForwardAgent
2009-07-01 12:49 ` Mikhail A. Pokidko
@ 2009-07-01 14:13 ` Ivan Fedorov
2009-07-02 5:39 ` Mikhail A. Pokidko
0 siblings, 1 reply; 10+ messages in thread
From: Ivan Fedorov @ 2009-07-01 14:13 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 1084 bytes --]
"Mikhail A. Pokidko"
<mikhail.pokidko-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org> writes:
> 2009/7/1 Alexey I. Froloff <raorn@altlinux.org>:
>> On Wed, Jul 01, 2009 at 04:42:26PM +0400, Mikhail A. Pokidko wrote:
>>> Мне надо, чтобы даже при ForwardAgent yes на host1, не подцеплялся
>>> агент при заходе с host2 на host3.
>> Ну, ns@ тебе уже ответил. Не бывает.
> Ну я же помнил, что что-то такое есть))
Оно ограничено только заходом по ключу, а зафорвардить может весь agent
при заходе по паролю, так что это не гарантированный метод, поэтому я и
не стал его вспоминать!
Так что если вы хотите положиться на этот метод, то запретите парольный
вход...
>> P.S. Есть no-agent-forwarding в aythorized_keys, sshd(8).
> Да!! Именно то, что нужно!
[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] ssh_config - ForwardAgent
2009-07-01 14:13 ` Ivan Fedorov
@ 2009-07-02 5:39 ` Mikhail A. Pokidko
0 siblings, 0 replies; 10+ messages in thread
From: Mikhail A. Pokidko @ 2009-07-02 5:39 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
2009/7/1 Ivan Fedorov <ns@altlinux.org>:
> "Mikhail A. Pokidko"
> <mikhail.pokidko-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org> writes:
>
>> 2009/7/1 Alexey I. Froloff <raorn@altlinux.org>:
>>> On Wed, Jul 01, 2009 at 04:42:26PM +0400, Mikhail A. Pokidko wrote:
>>>> Мне надо, чтобы даже при ForwardAgent yes на host1, не подцеплялся
>>>> агент при заходе с host2 на host3.
>>> Ну, ns@ тебе уже ответил. Не бывает.
>> Ну я же помнил, что что-то такое есть))
>
> Оно ограничено только заходом по ключу, а зафорвардить может весь agent
> при заходе по паролю, так что это не гарантированный метод, поэтому я и
> не стал его вспоминать!
>
> Так что если вы хотите положиться на этот метод, то запретите парольный
> вход...
Именно так, парольный вход отключен.
Спасибо за помощь.
--
xmpp: pma AT altlinux DOT org
^ permalink raw reply [flat|nested] 10+ messages in thread
end of thread, other threads:[~2009-07-02 5:39 UTC | newest]
Thread overview: 10+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2009-07-01 9:06 [Sysadmins] ssh_config - ForwardAgent Mikhail A. Pokidko
2009-07-01 11:54 ` Ivan Fedorov
2009-07-01 12:02 ` Mikhail A. Pokidko
2009-07-01 12:08 ` Ivan Fedorov
2009-07-01 12:17 ` Alexey I. Froloff
2009-07-01 12:42 ` Mikhail A. Pokidko
2009-07-01 12:47 ` Alexey I. Froloff
2009-07-01 12:49 ` Mikhail A. Pokidko
2009-07-01 14:13 ` Ivan Fedorov
2009-07-02 5:39 ` Mikhail A. Pokidko
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git