Как правильно использовать ssh-agent?

Question

[Dmitrii Solovev]

Вообщем пытаюсь разобраться с ssh-agent. Имеется к примеру 7 ключей для разных серверов.
Раньше я биндил через .ssh/config в таком варианте:

host bind-hostname
	HostName 100.100.100.1
	User username
	IdentityFile ~/.ssh/keyname

Что позволяло удобно логиниться на сервера. Но есть одно ограничение, это действует только на то имя bind-hostname, которое я задам. Т.е при заходе без него ssh username@100.100.100.1 ключик уже не подтягивается и надо указывать в ручную через -i.

Тут я нашел ssh-agent. В нем можно добавить ключи и он будет сам ими распоряжаться. Работет как через забинденый хост, так и без него. Вот только проблема в том, что он перебирает все с 1 по 7 к любому подключению и не запоминает хост.

Это приводит к тому, что очень часто получаю сообщение "Too many authentication failures" когда к примеру, надо залогиниться по паролю или с ключом который стоит на месте больше 6.
Это происходит, так как на серверах в основном по дефолту в sshd стоит 6 как максимальное число попыток подключений.

Как то можно заставить ssh-agent не делать постоянный перебор, а запоминать хосты?
Или использовать его правильно?

Answer 1

[Lynn «Кофеман»]

Что вам мешает написать

host bind-hostname 100.100.100.1
  Hostname 100.100.100.1
  User username
  IdentityFile ~/.ssh/keyname

ssh-agent позволяет не вводить passphrase каждый раз, но рулить выбором всё-равно надо из конфига.

Comments

[Dmitrii Solovev]

А это не поможет в случае ключей > 6. При подключению к новому хосту без бинда из конфига, он будет использовать ключи из ssh-agent. И не даст подключиться: "Too many authentication failures".
Пока я не использую опцию "не использовать ключ" или не изменю sshd на сервере - что уже лишние движения.

[Lynn «Кофеман»]

Dmitrii Solovev: Ну мне вообще не очень понятно зачем нужно столько ключей.

Но раз их столько, но наверняка есть какой-то паттерн в их именовании.

А значит стоит прочитать man ssh_config про паттерны в IdentityFile и параметр IdentitiesOnly

[Lynn «Кофеман»]

Вот, например, вариант

Host 100.100.100.*
  IdentityFile ~/.ssh/key-%h
  IdentityFile ~/.ssh/key-common
  IdentitiesOnly yes

И называть файлы с ключами key-100.100.100.1, key-100.100.100.2 и т.п.

[Dmitrii Solovev]

Алексей Тен: я не знаю почему много. Меня ssh никто не учил, просто прочитал ман и поехало стал делать на каждый сервак по ключу. Сколько их должно быть?

[Lynn «Кофеман»]

Dmitrii Solovev: Лично я пользуюсь одним ключом.

[mikes]

Dmitrii Solovev: ключ идентифицирует вас, а не сервер. поскольку вы один человек, то и ключ тоже будет один, остается лишь раскидать публичный ключ по всем нужным машинам.

[Dmitrii Solovev]

mikes: спасибо теперь более понятно!

Answer 2

[O Di]

Ответ, кажется, есть здесь:
SSH для частого использования

Comments

[Dmitrii Solovev]

К сожалению не нашел там ответа на вопрос.

Answer 3

[sudo rm -rf /]

А зачем обращаться к ssh username2@100.100.100.1, если можно обратиться к ssh username2@bind-hostname?
Тогда никаких проблем с ключами нет, если будете использовать для каждого пользователя bind-hostname один и тот же ключ. А если ключи разных пользователей машины уникальны, то можно их в том же конфиге перечислить или, если их больше 6, называть ключи по определенной системе с использованием имени хоста и пользователя, а имя ключа в конфиге задавать с использованием %h и %r.