SSH kluce na usb flashdisku

Přihlášení | Registrace

napište » Zprávičky

dnes 11:55 | Zajímavý software

Vývojář Spytihněv, autor počítačové hry Hrot (Wikipedie, ProtonDB), pracuje na nové hře Brno Transit. Jedná se o příběhový psychologický horor o strojvedoucím v zácviku, uvězněném v nejzatuchlejším metru východně od všeho, na čem záleží. Vydání je plánováno na čtvrté čtvrtletí letošního roku.

Ladislav Hagara | Komentářů: 11

České dráhy testují vysokorychlostní satelitní internet Starlink ve vlaku

včera 18:22 | IT novinky

V uplynulých dnech byla v depu Českých drah v Brně-Maloměřicích úspěšně dokončena zástavba speciální antény satelitního internetu Starlink od společnosti SpaceX do jednotky InterPanter 660 004 Českých drah. Zástavbu provedla Škoda Group. Cestující se s InterPanterem, vybaveným vysokorychlostním satelitním internetem, setkají například na linkách Svitava Brno – Česká Třebová – Praha nebo Moravan Brno – Břeclav – Přerov – Olomouc.

Ladislav Hagara | Komentářů: 10

digiKam 8.7.0

včera 13:11 | Nová verze

Byla vydána nová verze 8.7.0 správce sbírky fotografií digiKam (Wikipedie). Přehled novinek i s náhledy v oficiálním oznámení (NEWS). Nejnovější digiKam je ke stažení také jako balíček ve formátu AppImage. Stačí jej stáhnout, nastavit právo ke spuštění a spustit.

Ladislav Hagara | Komentářů: 0

Před 30 lety byl v ČR liberalizován Internet

včera 12:22 | IT novinky

Před 30 lety, k 1. 7. 1995, byl v ČR liberalizován Internet - tehdejší Eurotel přišel o svou exkluzivitu a mohli začít vznikat první komerční poskytovatelé přístupu k Internetu [𝕏].

Ladislav Hagara | Komentářů: 5

Zabbix 7.4

včera 11:33 | Nová verze

Byla vydána (𝕏) nová verze 7.4 open source monitorovacího systému Zabbix (Wikipedie). Přehled novinek v oznámení na webu, v poznámkách k vydání a v aktualizované dokumentaci.

Ladislav Hagara | Komentářů: 0

Sudo 1.9.17p1 řeší zranitelnosti CVE-2025-32462 a CVE-2025-32463

včera 05:44 | Bezpečnostní upozornění

Balíček s příkazem sudo byl vydán ve verzi 1.9.17p1. Řešeny jsou zranitelnosti CVE-2025-32462 (lokální eskalace práv prostřednictvím volby host) a CVE-2025-32463 (lokální eskalace práv prostřednictvím volby chroot).

Ladislav Hagara | Komentářů: 6

Na Seznam.cz s MojeID

včera 05:22 | IT novinky

Do služeb Seznam.cz se lze nově přihlásit pomocí služby MojeID [𝕏].

Ladislav Hagara | Komentářů: 5

Zranitelnosti v tiskárnách umožňují útočníkům obejít zabezpečení a převzít správu zařízení

včera 03:33 | Bezpečnostní upozornění

Bezpečnostní výzkumníci zveřejnili informace o osmi zranitelnostech, které postihují více než 700 modelů tiskáren, skenerů a štítkovačů značky Brother. Bezpečnostní upozornění vydali také další výrobci jako Fujifilm, Ricoh, Konica Minolta a Toshiba. Nejzávažnější zranitelnost CVE-2024-51978 umožňuje útočníkovi vzdáleně a bez přihlášení získat administrátorská oprávnění prostřednictvím výchozího hesla, které lze odvodit ze

… více »

Ladislav Hagara | Komentářů: 0

Dění kolem ochranné známky JAVASCRIPT

30.6. 16:00 | Komunita

Společnost Oracle vlastní ochrannou známku JAVASCRIPT. Komunita kolem programovacího jazyka JavaScript zastoupena společností Deno Land vede právní bitvu za její osvobození, viz petice a otevřený dopis na javascript.tm. Do 7. srpna se k nim má vyjádřit Oracle (USPTO TTAB).

Ladislav Hagara | Komentářů: 6

Raspberry Pi Radio Module 2

30.6. 13:11 | IT novinky

Byl představen samostatný rádiový modul Raspberry Pi Radio Module 2 s Wi-Fi a Bluetooth.

Ladislav Hagara | Komentářů: 6

Centrum | Napsat | Starší

navrhněte » Anketa

Jaký je váš oblíbený skriptovací jazyk?

bash (59%)

python (28%)

perl (7%)

powershell (2%)

batch (0%)

vbscript (1%)

jiný, uvedu v diskusi (3%)

Celkem 338 hlasů

Komentářů: 16, poslední 8.6. 21:05

Rozcestník

AbcLinuxu

HDmag.cz

msk - msk

Aktuální zápisy

? Archív

? Navigace

Nej blogů na AbcLinuxu

Nejčtenější za poslední měsíc

Nejkomentovanější za poslední měsíc

AbcLinuxu:/ Blogy / msk / SSH kluce na usb flashdisku

Štítky: aptitude, dpkg, Flash, grafické toolkity, hardware, KDE, mount, Qt, SSH, udev, USB

SSH kluce na usb flashdisku

14.9.2006 11:07 | Přečteno: 1633× | poslední úprava: 14.9.2006 11:44

Obcas sa potrebuje kazdy z nas pripojit na nejaky vzdialeny stroj pomocou ssh. Ja osobne na dva. Z prace domov, z prace k priatelke na server a z domu k priatelke na server.
Kedze stroje su verejne dostupne a logy sa plnili hlaskami o zlom hesle, moja paranoia zacala gradovat. Pristupil som teda k ciastocnej eliminacii rizik, zakazal som password loginy, povolil login len na svoje konto a to len pomocou kluca. To so sebou prinieslo ale dalsiu nevyhodu, ktorou je skladovanie tohoto kluca. Doma s tym problem nemam, ale v praci?
Tak som si kluc presunul na usb flash disk, ktory som mal vzdy zastrceny v kompe, ked som sa potreboval niekam pripojit. Samozrejme, ked som siel na obed, alebo dlhsie mimo kompu, kluc som braval so sebou. A to znamenalo neustale mounty, unmounty, linky, unlinky. Prestavalo ma to bavit, najma preto, ze to cele bolo okorenene tym, ze som stale musel zadavat heslo ( nie som samovrah, kluc je samozrejme zaheslovany ).

To ma dozralo a zacal som skumat, ako na to. SSH pouzivam uz roky rokuce a par krat som pocul nieco o nejakom tajuplnom ssh agentovi, ale nikdy som sa nedokopal k tomu, aby som ho trosku nastudoval. Tak som sa do toho pustil.

Prve, co ma napadlo, bolo ps ax | grep agent. A hu-ha, on uz bezal ( zistil som, ze od startu X, alebo KDE ). Vyskusal som spustit prikaz ssh-add /media/myusbkey1/keys/id_dsa_msk. Vypytal si heslo ku klucu, ktore obratom obdrzal. Nasledne spojenie ku mne domov prebehlo bez hesla. Zajasal som radostou. Huraaaaa, mam to! A tak sa moja diskoteka s usb klucom obmedzila na ranne pripojenie usb-cka, mount, ssh-add, heslo, umount. Ked som siel od kompu, stacilo ssh-add -x + nejake heslo. Samozrejme ako kazdy rypal, musel som to este nejak vylepsit. Co-to som uz pocul o udev, ved ked ten usb kluc strcim do kompu, rozsvieti sa mi pekna modra ikonka usb disku na paneli ( KDE ). A tak som si vymyslel dalsi scenar: rano pridem do prace, strcim tam usb kluc, agent si sam kluce naimportuje a ja mozem usb disk odpojit a cely den si uzivat bezhesloveho pristupu.

Takze som zacal studovat udev a moznost spustania scriptov pri urcitych eventoch. S udev som sa potrapil, pretoze ani jeden navod, ktory som nasiel na automount usb klucov, u mna nezafungoval. Po case som zistil, ze som vlastnikom usb klucenky, ktora odmieta oznamit svoje SYSFS{serial}. Vygooglil som teda sposob, akym to obist a pokracoval som vo "vyvoji" mojho prveho udev-rule.

KERNEL="sd*", SYSFS{vendor}="Corsair", SYSFS{model}="Flash*Voyager*", NAME{all_partitions}="myusbkey%n" RUN+="echo lama > /tmp/lama"

Po prvotnom uspechu, ktory sa prejavil tym, ze po vlozeni usb klucenky sa mi v /dev/ objavili zariadenia mysubkey* a v /tmp sa objavil subor lama s rovnakym obsahom, som zacal premyslat, ako to vyuzit tak, aby na mna v Xoch vyskocilo okno a vypytalo si heslo. Najprv som spekuloval s pythonom a qt, kym som si poriadne neprecital manual k ssh-add a nenarazil v nom na zmienku o SSH_ASKPASS. A za par desiatok minut bol na svete tento script:

#!/bin/sh

# create new file in /etc/udev/rules.d with similar content ( RUN+= must stay!! )
#KERNEL="sd*", SYSFS{vendor}="Corsair", SYSFS{model}="Flash*Voyager*", NAME{all_partitions}="myusbkey%n" RUN+="/home/msk/bin/import_ssh_key.sh signalize" GROUP="your_login"

# on which device keys are
KEYPARTITION="myusbkey1"

# path to keys ( from media root, separated by ',' )
KEYS="keys/id_dsa_key1,keys/id_dsa_key2"		# kluce mam na /media/myusbkey1/keys

# time of sleep between checks
SLEEPTIME=10

# your login
USERNAME="msk"

# binary of ssh_askpass
ASKPASS_BIN=/usr/bin/ssh-askpass-fullscreen



PIPEFILE=/tmp/keys_pipe


if [ "$1" == "signalize" ]; then
	# send signal
	echo "MYUSBKEY_INSERTED:$DEVNAME" > $PIPEFILE
	# and change ownership, because we was called from udev as root
	chown $USERNAME $PIPEFILE

else

	# create pipe signalization file
	rm -f $PIPEFILE

	# endless cycle
	while true; do

		if [ -e $PIPEFILE ]; then	

			# get content of pipe file
			MSG=$(cat $PIPEFILE)
		
			# test if contains message from udev
			TST=$(echo $MSG | grep "MYUSBKEY_INSERTED:/dev/$KEYPARTITION" | wc -l)
			if [ "$TST" != "0" ]; then
	
				# mount device
				pmount $KEYPARTITION
		
				# for all configured keys
				IFS=,
				export SSH_ASKPASS=$ASKPASS_BIN
				for key in $KEYS; do
					KEYPATH=/media/$KEYPARTITION/$key
					# check if key isn't already loaded
					if [ "$(ssh-add -l | grep $KEYPATH | wc -l)" == "0" ]; then
						# add key
						ssh-add $KEYPATH < /dev/null
					fi
				done
	
				# umount device
				pumount $KEYPARTITION
	
				# done
				> $PIPEFILE
	
			else
				# no signal from udev, sleep
				sleep $SLEEPTIME
			fi
		fi
	
	done

fi

V /etc/udev/rules.d vznikol novy subor 99-myusbkey.rules s nasledovnym obsahom:

KERNEL="sd*", SYSFS{vendor}="Corsair", SYSFS{model}="Flash*Voyager*", NAME{all_partitions}="myusbkey%n" RUN+="/home/msk/bin/import_ssh_key.sh signalize" GROUP="msk"

Pokial netrpite podobnym problemom s usb klucenkou ako ja, pouzite SYSFS{manufacturer} a SYSFS{serial} ( namiesto vendor a model ) podla navodov dostupnych po celom Internete.

V KDE autostart spravte link na import_ssh_key.sh tak, aby sa spustil po logine do KDE ( pripadne ineho wm ). Script bude bezat na pozadi a v pripade, ze sa vlozi usb klucenka, pokusi sa naimportovat kluce uvedene v $KEYS. Heslo si vypyta pomocou fulscreen dialogu ( aptitude install ssh-askpass-fullscreen ), ssh askpass je mozne zmenit v $ASKPASS_BIN.
Povodne som script napisal tak, aby s udev komunikoval pomocou fifo ( a nemuselo by sa cyklicky sleepovat, predsa to zere trosicku vykonu, ale asi zanedbatelne ), ale dochadzalo k deadlockom ( pokial nahodou na druhej strane fifo nikto nepocuval ), na ktorych udev ostal vysiet. Takze som z fifo spravil obycajny textovy subor, na ktorom udev nemoze ostat vysiet a 10 shell instrukcii za 10 sekund je asi v pohode :o).

Tak a teraz idem zasuvat a vysuvat, pomedzi to budem robit ssh-add -D a uzivat si svoje veldielo :o)
Snad sa to niekomu hodi...

Pokial niekto vie o nejakom systemovejsom rieseni, popiste ho v diskusii.

Hodnocení: 100 %

špatné • dobré

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (2) ? , Tisk

Vložit další komentář

14.9.2006 11:21 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: SSH kluce na usb flashdisku

Odpovědět | Sbalit | Link | Blokovat | Admin

Všechno je to moc pěkné, také jsem si takhle hrál, než jsem zjistil, že s jiným jádrem může být všechno jinak. Ted už na to peču. Když potřebuji něco z nějakého usb zařízení, tak si preventivně nejdřív vypíšu

cat /proc/partition

a pak to raději mountuju ručně.

14.9.2006 11:29 msk | skóre: 27 | blog: msk
Rozbalit Rozbalit vše Re: SSH kluce na usb flashdisku

No jo, ale ked ja to pouzivam na 2 strojoch s identickym jadrom a distribuciou, tak je to v pohode.

14.9.2006 11:22 msk | skóre: 27 | blog: msk
Rozbalit Rozbalit vše Re: SSH kluce na usb flashdisku

Odpovědět | Sbalit | Link | Blokovat | Admin

Este som zabudol dodat: chcel by som nieco podobne spravit s openvpn-kovymi certifikatmi ( strcim usb, vypyta si heslo, nahodi vpn ). Tusite niekto, ci by sa na to dal nejak zneuzit ssh agent, pripadne kwallet?

14.9.2006 11:45 msk | skóre: 27 | blog: msk
Rozbalit Rozbalit vše Re: SSH kluce na usb flashdisku

Odpovědět | Sbalit | Link | Blokovat | Admin

Ehm, trosku nepozornosti a uz je tu druha uprava scriptu :o). Pridal som test, ci existuje pipefile a odstranil -c zo ssh-add, pretoze necitam poriadne manualy :o)

14.9.2006 12:03 Jan Kundrát (jkt) | skóre: 27 | blog: jkt | Praha - Bohnice
Rozbalit Rozbalit vše Re: SSH kluce na usb flashdisku

Odpovědět | Sbalit | Link | Blokovat | Admin

No, ja osobne pouzivam pam_ssh, kteryzto umi heslem zadanym pri loginu "odemknout" ssh klic, ktery je pravda stale ulozen v ~. Bohuzel jsem jeste nenasel pam_gpg a byl jsem liny si ho napsat sam :).

Blésmrt

14.9.2006 12:55 Semo | skóre: 45 | blog: Semo
Rozbalit Rozbalit vše Re: SSH kluce na usb flashdisku

Odpovědět | Sbalit | Link | Blokovat | Admin

par veci k bashu

1.)

# path to keys ( from media root, separated by ',' )
KEYS="keys/id_dsa_key1,keys/id_dsa_key2"

oddeloval by som to medzerou, potom sa netreba srat s prenastavovanim IFS

2.)

# get content of pipe file
MSG=$(cat $PIPEFILE)
		
# test if contains message from udev
TST=$(echo $MSG | grep "MYUSBKEY_INSERTED:/dev/$KEYPARTITION" | wc -l)
if [ "$TST" != "0" ]; then

da sa to nahradit

if grep -q "MYUSBKEY_INSERTED:/dev/$KEYPARTITION" "$PIPEFILE"; then

3.)

namiesto kazdych 10 sekund sa pokusat citat subor, sa da nieco ako

tail -f "$PIPEFILE" |
while true; do
    read msg
    dosomething "$msg"
done

vtedy sa uz ale neda grepovat priamo subor, ale musi sa cez to echo

if echo "$msg" | grep -q "MYUSBKEY_INSERTED:/dev/$KEYPARTITION"; then

If you hold a Unix shell up to your ear, you can you hear the C.

14.9.2006 14:32 msk | skóre: 27 | blog: msk
Rozbalit Rozbalit vše Re: SSH kluce na usb flashdisku

Priznam sa, ze s tym tail ma to vobec nenapadlo. A pritom ho pouzivam denne :o). Dik za tip.

10.5.2011 23:11 lukas
Rozbalit Rozbalit vše Re: SSH kluce na usb flashdisku

Odpovědět | Sbalit | Link | Blokovat | Admin

Zdravím, potreboval by som pomôcť. V ubuntu, na jednej pracovnej stanici si chccem zriešiť prostredníctvom vmware ubuntu server (inú možnosť zatiaľ nepoznám), potrebujem aby ubuntu komunikovalo s ubuntu serverom, pretože mám k dispozícii token ikey2032, na ktorom budem mať certifikát, kľúč atď, ďalej chcem vyriešiť prihlásenie do ubuntu prostredníctvom spomínaného tokenu a to tak, že párový kľúč slúžiaci k autentifikácii bude uložený na strane servera a po zastrčení tokenu do usb portu táto auatentifikácia prebehne a následne by som mal byť prihlásený v ubuntu. Vopred ďakujem, za každú pomoc.. :)

Založit nové vlákno • Nahoru

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje