Как прикрепить блокировку ssh-агента к входу в Windows?

8

Можно ли каким-то образом автоматически разблокировать мои личные ключи для аутентификации по srr для Windows при входе в систему и (не) блокировать их при (не) блокировании моего сеанса?

В настоящее время я использую ssh-агент msys, но могу создать образ, используя, например, charade в качестве обертки для представления putty, если лучшее решение для этого уже существует.

Тобиас Кинцлер
источник
2
У меня просто есть ключ без пароля, зашифрованный с помощью EFS, который прозрачен для него ssh-agent, поэтому ключ можно загрузить автоматически, оставаясь в безопасности.
user1686
@ Grawity: спасибо, это еще проще! если вы разместите это как ответ , я принимаю его отредактировать коррекцию, я не могу , так как мой администратор не сделал настройку EFS правильно :(
Tobias Kienzler
В домене Active Directory? (Если у вас нет сертификата, cipher /kследует создать новый, хотя он будет самоподписанным.)
user1686
@ Grawity: спасибо. Я попробовал, но ничего не изменилось. Я начал новый вопрос для этой проблемы: Не
удается

Ответы:

1

У Grawity просто есть пароль без пароля, зашифрованный с помощью EFS, который прозрачен для ssh-agent, поэтому ключ можно загрузить автоматически, оставаясь в безопасности. Он также предлагает следующее для Active Directory: если у вас нет сертификата, cipher /kследует создать новый, хотя он будет самоподписанным.

оборота Том Вейсман
источник
в принципе это хорошая идея, но, как уже упоминалось, шифрование файлов не работает. cipher /kработает нормально, но я все равно получаю «Политика восстановления, настроенная для этой системы, содержит недействительный сертификат восстановления», но для исправления этого (см. здесь ) требуются права администратора ... Я думаю, что я буду придерживаться спящего режима или ключа без пароля без шифрования
Тобиас Kienzler
@Tobias: Что ты имеешь в виду? У вас нет прав администратора? Вы должны использовать их или попросить системного администратора сделать это за вас. Если у вас нет никакого способа получить доступ к учетной записи администратора, попробуйте переустановить, если это ваша личная ОС, или прекратите попытки, если это корпоративная ОС. Возможно, стоит подумать об использовании решения на базе Windows, такого как Terminal Services ...
Тамара Вийсман
это на работе, и наш администратор (который не будет давать кому-либо права администратора) достаточно занят обслуживанием нашего кластера по сравнению с этой простой задачей
Тобиас Кинцлер,
1

Возможно, вы сможете восстановить состояние разблокированных закрытых ключей, перейдя в режим гибернации в состоянии, когда закрытые ключи разблокированы; затем, каждый раз, когда вам это нужно, вы можете перейти в спящий режим, который вы захватили в первый раз. Технически это может сработать ...

Если нет, попробуйте настроить скрипт ( возможно, на основе AutoIt ), чтобы сделать то, что вы будете делать вручную.

Тамара Вийсман
источник
Мне не нравится идея помещать свой текстовый пароль в сценарий, тогда я бы предпочел незашифрованный ключ без пароля. Но гибернация - хорошая идея, я мог бы просто закрыть окна гибернации вместо того, чтобы закрывать ее, что должно сохранить экземпляр ssh-agent.exe
Тобиас Кинцлер,
1
@Tobias: Дело в том, что то, что вы спрашиваете, по сути привязывает блокировку вашего SSH-агента к вашему входу в Windows; единственный способ сделать это - использовать сценарии планировщика заданий для событий входа в систему, блокировки и выхода из системы. Вы можете сделать сценарий доступным для чтения только пользователю, настроенному в диспетчере задач, и можете хранить пароль в зашифрованном виде и расшифровывать его, когда это необходимо. Единственное, что здесь осталось - это кто-то украл ваш жесткий диск, но именно поэтому были изобретены EFS и TrueCrypt. Вы либо вводите свой пароль, либо вы делаете это автоматически, сохраняя его где-то ...
Тамара Вийсман
1
это правда. Я приму ответ EFS вашего / grawity, так как это решение я бы использовал, если бы оно работало. На самом деле я рассматриваю просто использование незашифрованного ключевого файла (с эксклюзивными разрешениями), поскольку любой, кто может получить доступ к соответствующему жесткому диску, будет находиться в той же комнате, что и машина, на которую я вешаю ssh: - / спасибо за оба ваших ответа!
Тобиас Кинцлер