abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 16:33 | Nová verze

    Svobodná historická realtimová strategie 0 A.D. (Wikipedie) byla vydána ve verzi 28 (0.28.0). Její kódový název je Boiorix. Představení novinek v poznámkách k vydání. Ke stažení také na Flathubu a Snapcraftu.

    Ladislav Hagara | Komentářů: 0
    dnes 04:44 | Nová verze

    Multimediální server a user space API PipeWire (Wikipedie) poskytující PulseAudio, JACK, ALSA a GStreamer rozhraní byl vydán ve verzi 1.6.0 (Bluesky). Přehled novinek na GitLabu.

    Ladislav Hagara | Komentářů: 0
    dnes 01:11 | Nová verze

    UBports, nadace a komunita kolem Ubuntu pro telefony a tablety Ubuntu Touch, vydala Ubuntu Touch 24.04-1.2 a 20.04 OTA-12.

    Ladislav Hagara | Komentářů: 0
    včera 18:00 | Nová verze

    Byla vydána (Mastodon, 𝕏) nová stabilní verze 2.0 otevřeného operačního systému pro chytré hodinky AsteroidOS (Wikipedie). Přehled novinek v oznámení o vydání a na YouTube.

    Ladislav Hagara | Komentářů: 1
    včera 16:00 | Zajímavý software

    WoWee je open-source klient pro MMORPG hru World of Warcraft, kompatibilní se základní verzí a rozšířeními The Burning Crusade a Wrath of the Lich King. Klient je napsaný v C++ a využívá vlastní OpenGL renderer, pro provoz vyžaduje modely, grafiku, hudbu, zvuky a další assety z originální kopie hry od Blizzardu. Zdrojový kód je na GitHubu, dostupný pod licencí MIT.

    NUKE GAZA! 🎆 | Komentářů: 6
    včera 13:33 | IT novinky

    Byl představen ICT Supply Chain Security Toolbox, společný nezávazný rámec EU pro posuzování a snižování kybernetických bezpečnostních rizik v ICT dodavatelských řetězcích. Toolbox identifikuje možné rizikové scénáře ovlivňující ICT dodavatelské řetězce a na jejich podkladě nabízí koordinovaná doporučení k hodnocení a mitigaci rizik. Doporučení se dotýkají mj. podpory multi-vendor strategií a snižování závislostí na vysoce

    … více »
    Ladislav Hagara | Komentářů: 4
    včera 12:22 | Humor

    Nizozemský ministr obrany Gijs Tuinman prohlásil, že je možné stíhací letouny F-35 'jailbreaknout stejně jako iPhony', tedy upravit jejich software bez souhlasu USA nebo spolupráce s výrobcem Lockheed Martin. Tento výrok zazněl v rozhovoru na BNR Nieuwsradio, kde Tuinman naznačil, že evropské země by mohly potřebovat větší nezávislost na americké technologii. Jak by bylo jailbreak možné technicky provést pan ministr nijak nespecifikoval, nicméně je známé, že izraelské letectvo ve svých modifikovaných stíhačkách F-35 používá vlastní software.

    NUKE GAZA! 🎆 | Komentářů: 34
    včera 06:00 | Zajímavý článek

    Nové číslo časopisu Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 162 (pdf).

    Ladislav Hagara | Komentářů: 0
    včera 05:55 | IT novinky

    Sdružení CZ.NIC, správce české národní domény, zveřejnilo Domain Report za rok 2025 s klíčovými daty o vývoji domény .CZ. Na konci roku 2025 bylo v registru české národní domény celkem 1 515 860 s koncovkou .CZ. Průměrně bylo měsíčně zaregistrováno 16 222 domén, přičemž nejvíce registrací proběhlo v lednu (18 722) a nejméně pak v červnu (14 559). Podíl domén zabezpečených pomocí technologie DNSSEC se po několika letech stagnace výrazně

    … více »
    Ladislav Hagara | Komentářů: 9
    18.2. 18:33 | IT novinky

    Google představil telefon Pixel 10a. S funkci Satelitní SOS, která vás spojí se záchrannými složkami i v místech bez signálu Wi-Fi nebo mobilní sítě. Cena telefonu je od 13 290 Kč.

    Ladislav Hagara | Komentářů: 14
    Které desktopové prostředí na Linuxu používáte?
     (18%)
     (6%)
     (0%)
     (11%)
     (27%)
     (3%)
     (4%)
     (2%)
     (12%)
     (26%)
    Celkem 918 hlasů
     Komentářů: 25, poslední 3.2. 19:50
    Rozcestník

    YubiKey NEO

    Identifikace pod Linuxem

    lsusb: Bus 008 Device 030: ID 1050:0116 Yubico.com

     

    dmesg

    [25846.452294] usb 8-2: new full speed USB device using uhci_hcd and address 31
    [25846.615643] usb 8-2: New USB device found, idVendor=1050, idProduct=0116
    [25846.615652] usb 8-2: New USB device strings: Mfr=1, Product=2, SerialNumber=3
    [25846.615660] usb 8-2: Product: Yubikey NEO OTP+U2F+CCID
    [25846.615665] usb 8-2: Manufacturer: Yubico
    [25846.615670] usb 8-2: SerialNumber: 0003675889
    [25846.615890] usb 8-2: configuration #1 chosen from 1 choice
    [25846.623854] input: Yubico Yubikey NEO OTP+U2F+CCID as /devices/pci0000:00/0000:00:1d.2/usb8/8-2/8-2:1.0/input/input40
    [25846.624169] generic-usb 0003:1050:0116.0039: input,hidraw0: USB HID v1.10 Keyboard [Yubico Yubikey NEO OTP+U2F+CCID] on usb-0000:00:1d.2-2/input0
    [25846.629204] generic-usb 0003:1050:0116.003A: hiddev0,hidraw1: USB HID v1.10 Device [Yubico Yubikey NEO OTP+U2F+CCID] on usb-0000:00:1d.2-2/input1
    
    

    Postup zprovoznění pod Linuxem

    Pro zprovoznění přihlašování - openssh klíč je schovaný v tokenu:

     

    1. Instalace balíčků

    Debian Sqeeze nebo Jessie:

    gnupg2, gnupg-agent, pinentry-gtk2, pinentry-curses, gpgsm, pcscd, libccid, gpgv, yubikey-personalization

    Neinstalovat openct a opensc.

     

    CentOS 6 nebo CentOS 7:

    gnupg2, gnupg2-smime, pinentry-gtk, pinentry, pcsc-lite, ccid, ykpers

    Neinstalovat openct a opensc.

     

    2 Skript pro přístup obyčeného uživatele pro Yubiko Neo pro Debian Sqeeze a CentOS 6.

    V Debianu Jessie nebo CentOS 7 není potřeba

    Skript /etc/udev/rules.d/100-yubikeys.rules v Debian Sqeeze:

    
    ACTION!="add|remove", GOTO="yubico_end"
    
    # Udev rules for letting the console user access the Yubikey USB
    # device node, needed for challenge/response to work correctly.
    # idVendor and idProduct are from "lsusb" or "dmesg"
    
    # Yubico Yubikey II
    #ATTRS{idVendor}=="1050", ATTRS{idProduct}=="0010|0110|0111|0114|0116|0401|0403|0405|0407|0410", OWNER="petr", MODE="0600"
    ATTRS{idVendor}=="1050", ATTRS{idProduct}=="0010|0110|0111|0114|0116|0401|0403|0405|0407|0410"
    RUN+="udev-acl --action=$env{ACTION} --device=$env{DEVNAME}"
    
    # New rules - now I can push-pull Yubiko token from USB port
    # Just works!
    # Sometimes, better never start gpg-agent this way. :-)
    
    #ACTION=="remove", ENV{ID_VENDOR_ID}="1050", ENV{SUBSYSTEM}=="usb", RUN+="/opt/token/yubiko-stop"
    #ACTION=="add", ENV{ID_VENDOR_ID}="1050", ENV{SUBSYSTEM}=="usb", RUN+="/bin/su petr -c '/opt/token/yubiko-start'" LABEL="yubico_end"

    3. Změna módu Yubikey NEO

    Aby se hlásil jako "[Yubico Yubikey NEO OTP+U2F+CCID]", přihlásit se to terminálu/konzole jako root, připojit token a vložit příkaz:

    root@HPPC:~# ykpersonalize -m82

    Pro uskutečnění změn je potřeba token odpojit z USB portu, odhlásit se z grafického prostředí a znovu se přihlásit. Nebo tuto změnu provést v nejmenovaném OS. Adresa ke stažení: https://www.yubico.com/support/downloads/

     

    4. Zkontrolovat, jestli neběží seahorse, gnome-keyring ("GPG Password Agent" a "SSH Key Agent"), zkontrolovat, jestli běží pcscd:

    petr@debian-jessie:~$ gpg --card-status

    gpg: pcsc_list_readers failed: unknown PC/SC error code (0x8010002e) gpg: čtečka karet není dostupná gpg: OpenPGp karta není dostupná: obecná chyba :-)

    4.1 Debian Sqeeze, CentOS 6

    gconf-editor -> /apps/gnome-keyring/daemon-components -> zrušit pkcs11, ssh, secrets

    4.2 CentOS 7

    Pro prostředí Gnome3: gnome-session-properties -> zrušit Agent hesel GPG, Agent klíčů SSH

    Pro prostředí Mate: Musí se odstranit spouštění gnome-keyring-daemon. Jako root v terminálu:

    mv /usr/bin/gnome-keyring-daemon /usr/bin/gnome-keyring-daemon.orig

    touch /usr/bin/gnome-keyring-daemon

    chmod +x /usr/bin/gnome-keyring-daemon

    Soubor /usr/bin/gnome-keyring-daemon bude obsahovat:

    #!/bin/sh

    exit 0

    4.3 Debian Jessie

    petr@mypc:~$ mkdir ~/.config/autostart
    petr@mypc:~$ cp /etc/xdg/autostart/gnome-keyring-gpg.desktop ~/.config/autostart/
    petr@mypc:~$ echo 'Hidden=true' >> ~/.config/autostart/gnome-keyring-gpg.desktop 
    petr@mypc:~$ cp /etc/xdg/autostart/gnome-keyring-ssh.desktop ~/.config/autostart/
    petr@mypc:~$ echo 'Hidden=true' >> ~/.config/autostart/gnome-keyring-ssh.deskto

    4.4 Odhlásit se z grafického prostředí, vytáhnout token z USB portu, přihlásit, vložit token, a zkusit znovu:

    petr@debian-jessie:~$ gpg --card-status

    can't connect to `/home/petr/.gnupg/S.gpg-agent': Adresář nebo soubor neexistuje
    Výše uvedená hláška nejspíše znamená, že neběží gpg-agent, což v tuto chvíli nevadí.
    
    Application ID ...: K2580501131108092705055281910604
    Version ..........: 2.0
    Manufacturer .....: unknown
    Serial number ....: 15441218
    Name of cardholder: Petr Pokorny
    Language prefs ...: [není nastaven]
    Sex ..............: muž
    URL of public key : 
    Login data .......: pavel
    Signature PIN ....: vyžadováno
    Key attributes ...: 2048R 2048R 2048R
    Max. PIN lengths .: 127 127 127
    PIN retry counter : 3 3 3
    Signature counter : 2
    Signature key ....: 0F23 95CD A41F F9BH AD81  3VB7 258J 4518 087J 12II
    	  created ....: 2015-10-07 17:00:38
    Encryption key....: 123B 2895 22CD ABB7 E221  2A24 18AB B084 7ASC ASD0
    	  created ....: 2015-10-07 17:01:26
    Authentication key: A3B8 FR5C 51AF 127A 12A6  12H3 D5KN V1A5 NV54 A41A
    	  created ....: 2015-10-07 17:02:09
    General key info..: [none]
    

    5. --enable-ssh-support, use-agent

    Po instalaci balíčku gnupg-agent se vytvoří soubor /etc/X11/Xsession.d/90gpg-agent, který automaticky spustí gpg-agent při přihlášení do grafického prostředí. Bohužel bez volby "--enable-ssh-support".

    5.1 --enable-ssh-support

    Vytvořit soubor ~/.gnupg/gpg-agent.conf (pokud neexistuje) s řádkem:

    enable-ssh-support

    5.2 use-agent

    Vytvořit soubor ~/.gnupg/gpg.conf (pokud neexistuje) s řádkem:

    use-agent

     

    6. Vytvořit soubor ~/.bashrc (pokud neexistuje) a přidat níže uvedené řádky

    # Smart card K30 and Yubiko Neo - GnuPG -> openssh login  
    
    GPG_TTY=$(tty)
    export GPG_TTY
    
    if [ -f "${HOME}/.gpg-agent-info" ]; then
      . "${HOME}/.gpg-agent-info"
      export GPG_AGENT_INFO
      export SSH_AUTH_SOCK
      export SSH_AGENT_PID
    fi
    
    alias sshg='gpg-agent --enable-ssh-support --daemon --use-standard-socket ssh'
    alias sshh='echo UPDATESTARTUPTTY | gpg-connect-agent; ssh'
    
    

     

    7. Spuštění gpg-agent

     

    7.1 Debian Sqeeze

    Tento bod (7.1.x) platí pro Debian Sqeeze.

     

    7.1.1 Během práce na mém PC nebudu nikdy token vytahovat.

    Pro přihlašování v grafickém prostředí i terminálu (tty x) je nutné použít bod 7.1.2.

    Jednou jej zasunu do USB portu a používám pro přihlašování/openssh, elektronickému podepisování dokumentů atd. Pokud token vytáhnu z USB portu, musím se odhlásit z grafického prostředí, znovu přihlásit a zasunout token do USB portu.

    Tento bod platí pro grafické prostředí.

    Pro přihlašování v terminálu (tty x) je nutné použít bod 7.1.2.

    Pokud nefunguje - není vidět v "htop" "gpg-agent --enable-ssh-support ...", upravit soubor /etc/X11/Xsession.d/90gpg-agent, aby vypadal nějak takto:

    : ${GNUPGHOME=$HOME/.gnupg}
    
    GPGAGENT=/usr/bin/gpg-agent
    PID_FILE="$GNUPGHOME/gpg-agent-info-$(hostname)"
    
    if grep -qs '^:space:*use-agent' "$GNUPGHOME/gpg.conf" "$GNUPGHOME/options" &&
       test -x $GPGAGENT &&
       { test -z "$GPG_AGENT_INFO" || ! $GPGAGENT 2>/dev/null; }; then
    
       if [ -r "$PID_FILE" ]; then
    	   . "$PID_FILE"
       fi
    
       # Invoking gpg-agent with no arguments exits successfully if the agent
       # is already running as pointed by $GPG_AGENT_INFO
       if ! $GPGAGENT 2>/dev/null; then
       # old
       #STARTUP="$GPGAGENT --daemon --sh --write-env-file=$PID_FILE $STARTUP"   
       # new for openssh support and when I kill gpg-agent, I will not see "defunc" in htop
       STARTUP="$GPGAGENT --daemon --enable-ssh-support --display :0 --sh --write-env-file=$PID_FILE"
       fi
    fi
    

     

    7.1.2 Během práce na mém PC budu token často vytahovat nebo se chci přihlašovat i přes terminál (tty x)

    Kvůli bezpečnosti - chodím na oběd, záchod, jsem paranoik a každou chvíli čekám URNU. Nechce se mi odhlašovat a znovu přihlašovat do grafického prostředí jen proto, že jsem vytáhnul token (i přesto, že je možné token nastavit/použít pro přihlašování). Aplikace, které vyžadují gpg-agent (jako seahorse) budu spouštět extra skriptem.

    V tom případě se nesmí gpg-agent spouštět při přihlašování do grafického prostředí, nýbrž "ručně" nebo přes udev.

    Soubor /etc/X11/Xsession.d/90gpg-agent bude vypadat nějak takto:

    : ${GNUPGHOME=$HOME/.gnupg}
    
    GPGAGENT=/usr/bin/gpg-agent
    PID_FILE="$GNUPGHOME/gpg-agent-info-$(hostname)"
    
    if grep -qs '^:space:*use-agent' "$GNUPGHOME/gpg.conf" "$GNUPGHOME/options" &&
       test -x $GPGAGENT &&
       { test -z "$GPG_AGENT_INFO" || ! $GPGAGENT 2>/dev/null; }; then
    
       if [ -r "$PID_FILE" ]; then
    	   . "$PID_FILE"
       fi
    
       # Invoking gpg-agent with no arguments exits successfully if the agent
       # is already running as pointed by $GPG_AGENT_INFO
       if ! $GPGAGENT 2>/dev/null; then
       # old
       #STARTUP="$GPGAGENT --daemon --sh --write-env-file=$PID_FILE $STARTUP"   
       # new, why start gpg-agent?
       echo "Hellow world" >/dev/null
       fi
    fi
    

    Spouštění gpg-agent přes udev.

    Obsah souboru udev je v bodě 2, stačí odkomentovat řádky začínající na #ACTION=="remove" a #ACTION=="add".

    Skripty jsou uvedeny níže.

    Problém ve skriptu přes udev je v tom, že:

    - Při spuštění (strčím token do USB) gpg-agent vyžaduje nastavit proměnnou, na kterém displeji/tty se má spustit pinentry (dialog pro zadání hesla tokenu).

    - Při ukončení (vytáhnu token z USB) je někdy potřeba ukončit proces gpg-agent, scdaemon a restartovat pcscd.

    Je ovšem možné i tyto skripty spouštět "ručně".

    Soubor /opt/token/yubiko-start spouštěný přes udev - viz výše:

    #!/bin/bash
    
    #exit 0
    
    killall gpg-agent 2>/dev/null
    #killall scdaemon  2>/dev/null
    
    # Varianta 1
    # Funguje jen v grafickem prostredi, ne v terminalu (--display :0)
    # Prihlasuje se prikazem:
    # petr@HPPC:~$ ssh vzdaleny@IP-adresa
    exec /usr/bin/gpg-agent --enable-ssh-support --daemon --display :0 --use-standard-socket --sh --write-env-file "${HOME}/.gpg-agent-info"
    
    # Varianta 2
    # Funguje v terminalu (tty) i v grafickem prostredi
    # Prihlasuje se prikazem: 
    # petr@HPPC:~$ sshh vzdaleny@IP-adresa
    # do souboru ~/.bashrc pridat radek s alias:
    # alias sshh='echo UPDATESTARTUPTTY | gpg-connect-agent; ssh'
    # Po pridani radku provest v terminalu: 
    # petr@HPPC:~$ source ~/.bashrc
    #exec /usr/bin/gpg-agent --enable-ssh-support --daemon --use-standard-socket --sh --write-env-file "${HOME}/.gpg-agent-info"
    
    gpg --card-status
    
    gpg-connect-agent learn /bye
    SSH_AUTH_SOCK="/home/petr/.gnupg/S.gpg-agent.ssh"
    export SSH_AUTH_SOCK
    
    echo UPDATESTARTUPTTY | gpg-connect-agent 
    gpg-connect-agent /bye
    

    Soubor /opt/token/yubiko-stop spouštěný přes udev - viz výše:

    #!/bin/bash 
    
     #exit 0
    
     killall gpg-agent
    
     killall scdaemon
    
     /etc/init.d/pcscd stop
    
     killall pcscd
    
     /etc/init.d/pcscd start
    

     

    7.2 Debian Jessie

    Tento bod (7.2.x) platí pro Debian Jessie.

    GnuPG (gpg-agent) nemá žádný problém s vytáhnutím a opětovném zastrčením tokenu do USB portu.

    Pro grafické prostředí není třeba provádět jakékoliv úpravy.

    Pro použití v terminálu (tty x) platí bod 7.1.2.

     

    7.3 CentOS 6

    Tento bod (7.3.x) platí pro CentOS 6 a grafický správce přihlášení KDM (K Display Manager).

     

    7.3.1 Během práce na mém PC nebudu nikdy token vytahovat a přihlašuji se z grafického prostředí.

    Pro přihlašování v grafickém prostředí i terminálu (tty x) je nutné použít bod 7.3.2.

    Jednou jej zasunu do USB portu a používám pro přihlašování/openssh, elektronickému podepisování dokumentů atd. Pokud token vytáhnu z USB portu, musím se odhlásit z grafického prostředí, znovu přihlásit a zasunout token do USB portu.

    Pokud nefunguje - není vidět v "htop" "gpg-agent --enable-ssh-support ...", upravit soubor /etc/KDE/env/gpg-agent-startup.sh, aby vypadal nějak takto:

    #!/bin/sh
    
    
    GPG_AGENT=/usr/bin/gpg-agent
    ## Run gpg-agent only if not already running, and available
    if [ -x "${GPG_AGENT}" ] ; then
    
      # check validity of GPG_SOCKET (in case of session crash)
      GPG_AGENT_INFO_FILE=${HOME}/.gpg-agent-info
      if [ -f "${GPG_AGENT_INFO_FILE}" ]; then
        GPG_AGENT_PID=`cat ${GPG_AGENT_INFO_FILE} | cut -f2 -d:`
        GPG_PID_NAME=`ps -p ${GPG_AGENT_PID} -o comm=`
        if [ ! "x${GPG_PID_NAME}" = "xgpg-agent" ]; then
          rm -f "${GPG_AGENT_INFO_FILE}" 2>&1 >/dev/null
        else
           GPG_SOCKET=`cat "${GPG_AGENT_INFO_FILE}" | cut -f1 -d: | cut -f2 -d=`
           if ! test -S "${GPG_SOCKET}" -a -O "${GPG_SOCKET}" ; then
             rm -f "${GPG_AGENT_INFO_FILE}" 2>&1 >/dev/null
           fi
        fi
        unset GPG_AGENT_PID GPG_SOCKET GPG_PID_NAME
      fi
    
      if [ -f "${GPG_AGENT_INFO_FILE}" ]; then
        eval "$(cat \"${GPG_AGENT_INFO_FILE}\")"
        eval "$(cut -d= -f 1 < \"${GPG_AGENT_INFO_FILE}\" | xargs echo export)"
        export GPG_TTY=$(tty)
      else
        # old
        #eval "$(${GPG_AGENT} -s --daemon --write-env-file ${GPG_OPTIONS})"
        # new
        eval "$(${GPG_AGENT} -s  --enable-ssh-support --display :0 --daemon --write-env-file ${GPG_OPTIONS})"
      fi
    
    fi
    

     

    7.3.2 Během práce na mém PC budu token často vytahovat nebo se chci přihlašovat i přes terminál (tty x)

    V tom případě se nesmí gpg-agent spouštět při přihlašování do grafického prostředí, nýbrž "ručně" nebo přes udev.

    Smazat soubor /etc/KDE/env/gpg-agent-startup.sh nebo jej upravit nějak takto:

    #!/bin/sh
    
    exit 0
    
    GPG_AGENT=/usr/bin/gpg-agent
    ## Run gpg-agent only if not already running, and available
    
    ## pokracovani zbytku souboru
    #############################
    #############################
    

    Spouštění gpg-agent přes udev.

    Obsah souboru udev je v bodě 2, stačí odkomentovat řádky začínající na #ACTION=="remove" a #ACTION=="add".

    Skripty jsou uvedeny níže.

    Problém ve skriptu přes udev je v tom, že:

    - Při spuštění (strčím token do USB) gpg-agent vyžaduje nastavit proměnnou, na kterém displeji/tty se má spustit pinentry (dialog pro zadání hesla tokenu).

    - Při ukončení (vytáhnu token z USB) je někdy potřeba ukončit proces gpg-agent, scdaemon a restartovat pcscd.

    Je ovšem možné i tyto skripty spouštět "ručně".

    Soubor /opt/token/yubiko-start spouštěný přes udev - viz výše:

    #!/bin/bash
    
    #exit 0
    
    killall gpg-agent 2>/dev/null
    #killall scdaemon  2>/dev/null
    
    # Varianta 1
    # Funguje jen v grafickem prostredi, ne v terminalu (--display :0)
    # Prihlasuje se prikazem:
    # petr@HPPC:~$ ssh vzdaleny@IP-adresa
    exec /usr/bin/gpg-agent --enable-ssh-support --daemon --display :0 --use-standard-socket --sh --write-env-file "${HOME}/.gpg-agent-info"
    
    # Varianta 2
    # Funguje v terminalu (tty) i v grafickem prostredi
    # Prihlasuje se prikazem: 
    # petr@HPPC:~$ sshh vzdaleny@IP-adresa
    # do souboru ~/.bashrc pridat radek s alias:
    # alias sshh='echo UPDATESTARTUPTTY | gpg-connect-agent; ssh'
    # Po pridani radku provest v terminalu: 
    # petr@HPPC:~$ source ~/.bashrc
    #exec /usr/bin/gpg-agent --enable-ssh-support --daemon --use-standard-socket --sh --write-env-file "${HOME}/.gpg-agent-info"
    
    gpg --card-status
    
    gpg-connect-agent learn /bye
    SSH_AUTH_SOCK="/home/petr/.gnupg/S.gpg-agent.ssh"
    export SSH_AUTH_SOCK
    
    echo UPDATESTARTUPTTY | gpg-connect-agent 
    gpg-connect-agent /bye
    

    Soubor /opt/token/yubiko-stop spouštěný přes udev - viz výše:

    #!/bin/bash 
    
     #exit 0
    
     killall gpg-agent
    
     killall scdaemon
    
     /etc/init.d/pcscd stop
    
     killall pcscd
    
     /etc/init.d/pcscd start
    

     

    7.4 CentOS 7

    Tento bod (7.4) platí pro CentOS 7.

    GnuPG (gpg-agent) nemá žádný problém s vytáhnutím a opětovném zastrčením tokenu do USB portu.

    Pro grafické prostředí není třeba provádět jakékoliv úpravy.

    Pro použití v terminálu (tty x) platí bod 7.3.2.

     

    8. Vygenerovat klíče a přenést je do tokenu

     

    9. gpgkey2ssh

    Pomocí příkazu gpgkey2ssh muj-gpg-klic >tecka-ssh-authorized_keys-na-vzdalenem-PC převést na open-ssh formát veřejného klíče a ten přenést do authorized_keys do PC, kam se chci přihlašovat.

     

    10. Přihlášení na vzdálený počítač

     

    10.1 gpg-agent není automaticky spuštěn při přihlášení

    Přihlášení je možné v grafickém prostředí i terminálu (tty x).

    petr@HP:~$ gpg-agent --enable-ssh-support --daemon --use-standard-socket ssh vzdaleny@IP-adresa

    Nebo pomocí alias:

    petr@HPPC:~$ sshg vzdaleny@IP-adresa

     

    10.2 gpg-agent je automaticky spuštěn při přihlášení do grafického prostředí

    Přihlášení je možné pouze v grafickém prostředí.

    petr@HPPC:~$ ssh vzdaleny@IP-adresa

     

    10.3 gpg-agent je automaticky spuštěn přes udev při vložení tokenu po přihlášení do grafického prostředí

    Přihlášení je možné pouze v grafickém prostředí.

    Varianta 1  v souboru /opt/token/yubiko-start (bod 7.1.2 nebo 7.3.2, spuštění přes udev).

    petr@HPPC:~$ ssh vzdaleny@IP-adresa

     

    10.4 gpg-agent je automaticky spuštěn přes udev při vložení tokenu po přihlášení

    Přihlášení je možné v grafickém prostředí i terminálu (tty x).

    Varianta 2  v souboru /opt/token/yubiko-start (bod 7.1.2 nebo 7.3.2, spuštění přes udev).

    petr@HPPC:~$ echo UPDATESTARTUPTTY | gpg-connect-agent; ssh vzdaleny@IP-adresa

    Spouštění přes alias v ~/.bashrc:

    petr@HPPC:~$ sshh vzdaleny@IP-adresa


    Prostě je to brnkačka... :-)

    Dokument vytvořil: 00000, 13.10.2015 23:11 | Poslední úprava: 00000, 26.11.2015 10:13 | Historie změn | Zobrazeno: 1550×

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.