Pak ať někdo tvrdí, že blogy na abclinuxu jsou k ničemu. Super věc, před časem jsem si dost hrál s ssh a tento fígl mě skutečně ani nenapadl. Jdu si měnit heslo na passfrázi a tento blogpost si dávám do záložek. Moc díky!

Z clanku jsem nepochopil, jak to funguje (co provadi autentizaci a proti cemu), takze tady je popis z domovske stranky projektu:

This PAM module provides single sign-on behavior for SSH. The user types an SSH passphrase when logging in (probably to GDM, KDM, or XDM) and is authenticated if the passphrase successfully decrypts the user's SSH private key. In the PAM session phase, an ssh-agent process is started and keys are added. For the entire session, the user can SSH to other hosts that accept key authentication without typing any passwords.

Tudiz podstatna informace je, ze autentizace se dela na zaklade toho, ze poskytnuta passphrase umi rozsifrovat klic.

BTW, nejsem si jisty, jestli je nebezpecnejsi mit rozsifrovany ssh klic porad v pameti pocitace (doufam, ze prislusna oblast pameti je chranena proti odswapovani) nebo tu passphrase zadavat porad dokola (trebas po time-outu)?

No ja nevim, ale ja osobne to pouzivam tak, ze se stale primarne overuje oproti shadow a teprve pokud to projde, zkusi se rozsifrovat i SSH klic. Ma to tu vyhodu, ze uzivatele, co maj svuj SSH klic bez hesla, se budou muset prihlasit svym "systemovym" heslem. Cili heslo z /etc/shadow je porad rozhodujici a pokud se s pam_ssh cokoliv stane, vubec to nevadi.

Jo a davam to do /etc/pam.d/system-auth, cili se to pouziva i pri loginu do konzole etc...

auth       required     pam_env.so
auth       required     pam_unix.so likeauth nullok
auth       optional     pam_ssh.so try_first_pass

Jinak pokud pouzivas originalni verzi pam_ssh a ne tu opatchovanou Debianem, tak by se ti mohlo hodit odstranovani mrtvejch souboru po havarii...