Ликбез: ssh-agent x-session manager — зачем оно надо?

Question

[juffinhalli]

Доброй ночи хабражители!

Дано
Чистая Ubuntu 12.04
Поставлил xorg и lxde-core.
Запустил startx
htop до кучи показал ещё один новый процесс

/usr/bin/ssh-agent x-session-manager

Как это можно использовать на практике? Зачем оно вообще нужно?

Прошу помочь в ликвидации безграмотности

UPD
Практическое применение тут

Answer 1

[motl]

Не очень ясно выразился в предыдущем посте. Возможность запускать приложения на удаленной машине — это свойство архитектуры X System. SSH необходим только для аутентификации и шифрования данных. В качестве сессионного протокола вместо ssh можно использовать telnet.

Answer 2

[motl]

Для того, чтобы X client applications, запущенные на удаленной машине, могли подсоединиться к вашему X Server. В качестве аутентификации по умолчанию используется SSH. ssh-agent это утилита для управления ключами.
Например, у вас на удаленном сервере запущена программа администрирования системы. Это программа коннектится к X Server на вашей локальной машине и позволяет вам конфигурировать удаленную машину в графическом режиме.

Comments

[Eddy_Em]

Пройти аутентификацию по ключам вы и без ssh-agent сможете. Он нужен для копирования ключей (ssh-copy-id без него не сработает).

[merlin-vrn]

Eddy_Em, это полная чушь. Они никак вообще не зависят друг от друга.

ssh-agent хранит расшифрованный приватный ключ в памяти, чтобы вам каждый раз не расшифровывать его (не вводить секретную фразу)

ssh-copy-id дописывает приватный ключ r ~/.ssh/authorized_keys удалённого хоста. При этом он как-то аутентифицируется на том хосте, т.е. спросит у вас либо пароль от того хоста, либо потребуется какой-нибудь ключ, который есть на удалённом хосте — неважно, в ssh-agentе он или в файле лежит, тогда ещё потребуется расшифровать.

[merlin-vrn]

опечатка. Конечно же, на удалённый хост копируется публичный ключ.

[Eddy_Em]

А, понял: я никогда не пользовался «секретными фразами» — смысл тогда в аутентификации по ключам, если все равно «автоматом» не получится подключиться?

[merlin-vrn]

Смысл в секретной фразе — чтобы если сопрут ваш приватный ключ, не смогли подключиться к вашим хостам. Ведь он зашифрован, кажется, AES, а ключ — та самая секретная фраза.
И приходится каждый раз её вводить — для подключения к удалённому хосту ключ надо расшифровать.

Это всё равно надёжнее, чем пароль — ведь пароль-то вы высылаете хосту на проверку, хотя бы и по зашифрованному каналу; а вот с ключами вы никаких своих секретов не выдаёте.

А чтобы каждый раз не вводить эту самую секретную фразу, придумали ssh-agent. Схема такая: вошёл в систему — автоматом запустился ssh-agent, в окружении появились переменные, как его найти. Теперь вы делаете ssh-add, один раз пишете секретную фразу — ключ расшифровывается и попадает в кэш агента. Теперь любые команды ssh будут (по окружению) автоматически находить агент и подхватывать ключ, ничего у вас не спрашивая.

Это касается вообще любых ssh-подключений, а не только собственно оболчки: scp, vncviewer в тоннеле (с ключом -via), virt-manager и т. д.

Answer 3

[OCTAGRAM]

Собственно ssh-agent — аналог Pageant из комплекта PuTTY. Использование: генерим на своей машине пару закрытый-открытый ключ, закрытый ключ защищаем паролем при создании. Открытый ключ дописываем в .ssh/authorized_keys на удалённых машинах.

Пробуем логиниться на удалённые машины и наблюдаем, что если раньше надо было ввести password от удалённого юзера, то сейчас надо ввести passphrase от локального закрытого ключа. Когда это надоест, можно воспользоваться Pageant или ssh-agent: запускаем его, просим расшифровать закрытый ключ в память, вводим passphrase, и с тех пор при заходе на удалённые машины passphrase уже не требуется. ssh-agent держит расшифрованный закрытый ключ в памяти и позволяет сторонним процессам использовать его, но не позволяет читать сам ключ.

Если у ssh-agent указана команда (x-session-manager в нашем случае), эта команда запускается подпроцессом ssh-agent'а, и ssh-agent завершится вместе с этим дочерним процессом. Похоже, ssh-agent навешивают на иксовые сессии именно таким образом.

P. S. X11 Forwarding — это другая фича ssh. X11 клиенты авторизуются посредством волшебного кукиса (.Xauthority), к которому обычно имеют доступ только локальные процессы, запущенные тем же юзером. Чтобы кукис не утекал на лево, как мера безопасности, ssh на удалённой машине использует другой кукис и после проверки подменяет его в протоколе на локальный кукис.