단일 명령 줄을 통해 ssh를 통해 gpg-agent를 사용하는 데 문제가 있습니다.
내 구성은 다음과 같습니다.
서버 A : ssh를 통해 명령을 트리거합니다.
ssh user@serverB "sudo -E /path/to/script.sh"
서버 B : 암호 문구가 필요한 스크립트를 실행합니다.
시스템 정보 : 우분투 12.04
서버 B에서 gpg-agent를 설정했습니다.이 구성을 /home/user/.bashrc에 추가했습니다.
Invoke GnuPG-Agent the first time we login.
# Does `~/.gpg-agent-info' exist and points to gpg-agent process accepting signals?
if test -f $HOME/.gpg-agent-info && \
kill -0 `cut -d: -f 2 $HOME/.gpg-agent-info` 2>/dev/null; then
GPG_AGENT_INFO=`cat $HOME/.gpg-agent-info | cut -c 16-`
else
# No, gpg-agent not available; start gpg-agent
eval `gpg-agent --daemon --write-env-file $HOME/.gpg-agent-info`
fi
export GPG_TTY=`tty`
export GPG_AGENT_INFO
다음은 /home/user/.gnupg/gpg-agent.conf의 에이전트 구성입니다.
enable-ssh-support
#1 year cache support
default-cache-ttl 31536000
default-cache-ttl-ssh 31536000
max-cache-ttl 31536000
max-cache-ttl-ssh 31536000
#debug-all
따라서이 작업을 수행하기 위해 ssh를 통해 serverB에 연결합니다.
ssh user@serverB
gpg-agent가 시작되면 스크립트를 수동으로 트리거합니다.
sudo -E /path/to/script.sh
그런 다음 gpg-agent가 암호 문구를 묻는 메시지를 표시합니다. 암호 문구를 설정하면 스크립트를 다시 실행할 수 있으며 암호 문구를 요구하지 않고 작업을 수행합니다.
내 문제는, 예를 들어, 먼 거리에서 트리거하려고 할 때입니다.
ssh user@serverB "sudo -E /path/to/script.sh"
스크립트가 계속 암호를 요구하기 때문에 gpg-agent가 작동하지 않는 것 같습니다.
편집하다:
sudo 암호없이 스크립트를 원격으로 실행하고 환경 변수를 유지하기 위해 /etc/sudoers.d/user에 다음 내용을 추가했습니다.
user ALL=(ALL)NOPASSWD:SETENV:/path/to/script.sh
어떤 아이디어?
답변
로그인 한 ssh user@serverB후 수동으로 스크립트를 실행하면 처음으로 암호 문구를 입력하라는 메시지가 표시되고, 스크립트를 실행할 때 shh-agent는 저장된 암호를 제공합니다.
그러나 당신이 실행할 때 ssh user@serverB "sudo -E /path/to/script.sh마다 매번 새로운 로그인을하고 있으며 ssh-agent가 별도의 SSH 로그인을 통해 암호 문구를 저장하는 것을 지원하지 않는다고 생각합니다.
키 체인이 필요한 작업을 수행하는 것으로 보입니다 : http://www.funtoo.org/Keychain
키 체인을 사용하면 로컬 컴퓨터를 재부팅 할 때마다 암호를 한 번만 입력하면됩니다. 또한 키 체인을 사용하면 원격 크론 작업을 오래 실행되는 ssh-agent 프로세스에 안전하게 “연결”할 수 있으므로 스크립트가 키 기반 로그인을 활용할 수 있습니다.
현재 버전의 키 체인은 gpg-agent 및 ssh-agent를 지원합니다.
