ทำให้รหัสผ่านของฉันได้รับการป้องกันคีย์ SSH หมดอายุหรือหมดเวลาหลังจากไม่นาน

ฉันมีคีย์ SSH ส่วนตัวผมใช้สำหรับการตรวจสอบที่ถูกเก็บไว้ใน~ / .ssh / id_rsa เมื่อฉันเข้าสู่เซิร์ฟเวอร์ฉันได้รับแจ้งให้ป้อนรหัสผ่านเพื่อปลดล็อครหัส:

ฉันชอบสิ่งนี้. ฉันก็ชอบที่ฉันสามารถ ssh ซ้ำแล้วซ้ำอีกและมันไม่ได้แจ้งให้ฉันสำหรับรหัสผ่านของฉัน

สิ่งที่ฉันไม่ชอบคือฉันไม่จำเป็นต้องป้อนรหัสผ่านวันหรือแม้กระทั่งสัปดาห์ต่อมา ฉันสามารถล็อคหน้าจอของฉันหรือทำให้เข้าสู่โหมดสลีปและฉันก็ยังไม่ต้องป้อนรหัสผ่านที่สำคัญของฉัน ครั้งเดียวที่ดูเหมือนว่ามันจะหมดอายุรหัสผ่านคือเมื่อฉันออกจากระบบ (ซึ่งฉันไม่ค่อย)

ฉันจะได้รับรหัสผ่านที่สำคัญได้อย่างไรหลังจากผ่านไปครู่หนึ่งบังคับให้ฉันใส่รหัสผ่านอีกครั้งเพื่อตรวจสอบสิทธิ์ ทำให้เป็นไปได้ว่าหลังจากผ่านไป 1 ชั่วโมงกุญแจจะถูกลืมโดยอัตโนมัติ

แทนที่จะปรับแต่ง ssh-agent (ซึ่งตอนนี้ต้องใช้การแฮ็กจำนวนมาก) ฉันขอแนะนำอย่างยิ่งให้คุณเปลี่ยนการตั้งค่าบนพวงกุญแจเริ่มต้น (ล็อกอิน) ของคุณ ฉันใช้ 'ล็อคการนอนหลับ' ที่เป็นประโยชน์มากเช่นเดียวกับ 'ล็อคหลังจาก 4 ชั่วโมง' เพราะฉันไม่ต้องการพรอมต์เว้นแต่ว่าฉันกำลัง afk

เปิดการเข้าถึงของ Keychain และคลิกขวาที่พวงกุญแจการเข้าสู่ระบบเพื่อเปลี่ยนการตั้งค่า:

หรือถ้าคุณชอบ commandline:

security set-keychain-settings -lu -t 14400

สิ่งนี้จะส่งผลให้มีการแจ้งเตือนพิเศษอย่างน้อยหนึ่งครั้งสำหรับการปลดล็อคพวงกุญแจ (ต้องใช้รหัสผ่านการเข้าสู่ระบบของคุณ) เช่นเดียวกับการแจ้งให้ทราบว่าคุณต้องการใช้คีย์ใด ...

หมายเหตุ : ใน OS X เวอร์ชั่นใหม่กว่าคุณต้องปิดการใช้งานการป้องกันความสมบูรณ์ของระบบเพื่อให้คำตอบนี้สามารถใช้งานได้ (ขอบคุณ @Dave Gregory และ @Jaap สำหรับการชี้เรื่องนี้)

เปิด/System/Library/LaunchAgents/com.openssh.ssh-agent.plist(ในเวอร์ชันที่เก่ากว่า:) org.openbsd.ssh-agent.plistในเท็กซ์เอดิเตอร์ แทนที่:

<key>ProgramArguments</key>
<array>
    <string>/usr/bin/ssh-agent</string>
    <string>-l</string>
</array>

ด้วย:

<key>ProgramArguments</key>
<array>
    <string>/usr/bin/ssh-agent</string>
    <string>-l</string>
    <string>-t</string>
    <string>30m</string>
</array>

การดำเนินการนี้จะหมดอายุคีย์หลังจาก 30 นาที

Reboot เดี๋ยวก่อนรีบูต?! นี่ไม่ใช่ Windows! ใช่รีบูต

คุณสามารถลองถอดรหัสคำแนะนำในการเปลี่ยนการตั้งค่าได้ทันทีแต่ขอให้โชคดี

คุณต้องกำหนดชีวิตของกุญแจ ตามปกติแล้วค่าเริ่มต้นจะเป็นตลอดไป

เมื่อคุณเรียกใช้ssh-addคุณต้องการใช้-tตัวเลือก หากคุณต้องการชีวิตที่สำคัญของหนึ่งชั่วโมงก็เป็นssh-add -t 1hได้ รูปแบบเวลาสามารถดูได้ในsshd_configman page แต่ใส่เพียงตัวเลขตามด้วย s, m, h, d, หรือ w เป็นวินาที, นาที, ชั่วโมง, ชั่วโมง, วันหรือสัปดาห์

ssh-addสามารถใส่ลงในไฟล์. bashrc ของคุณและมันจะขอให้คุณยืนยันรหัสอีกครั้ง แม้ว่าคีย์ "หมดอายุ" จะไม่ถูกลบออก แต่เพียงแค่ขอให้ใส่ข้อความรหัสผ่านอีกครั้งเมื่อมีการพยายามใช้งาน

ตัวเลือกอื่นจะแก้ไขตัวเลือกการเปิดใช้ssh-agentที่เก็บไว้ใน/System/Library/LaunchAgents/org.openbsd.ssh-agent.plistและเพิ่มที่-tนั่น (ฉันใช้LaunchControlสำหรับการเปลี่ยนแปลงสิ่งเหล่านี้ แต่คุณสามารถทำได้ด้วยตนเองหากคุณระมัดระวัง)

โซลูชันอื่นคือ:

ssh-add -t <time> <ssh-private-key>  # Set maximum lifetime to your SSH priv key.
killall ssh-agent                    # Kill all ssh-agent processes.
ssh-add -D                           # Delete all identities recorded by the agent.

ด้วยโซลูชันนี้คุณไม่ต้องเลือกการหมดเวลาใช้งานกับพวงกุญแจทั้งหมดของคุณ - ค่อนข้างน่ารำคาญเมื่อคุณต้องการตั้งค่าการหมดเวลาไม่กี่วินาทีในการบันทึกรหัสผ่านคีย์ส่วนตัวของคุณ - และคุณไม่ต้องปิดการใช้งาน SIP เพื่อแก้ไข / ระบบ / ห้องสมุด / LaunchAgents / org.openbsd.ssh-agent.plist