ใช้คีย์ส่งต่อเฉพาะจากตัวแทน SSH หรือไม่

สมมติว่าฉันมีกุญแจสำหรับ Github พร้อมกับปุ่มอื่น ๆ ฉันได้เพิ่มกุญแจจำนวนมากให้กับตัวแทน ssh ของฉัน ( ssh-add -Lคืนสายจำนวนมาก) ที่คอมพิวเตอร์ที่บ้านของฉัน A. ในฉัน.ssh/configฉันได้ตั้งค่าคีย์ที่จะใช้กับโฮสต์ที่ดังนั้นเช่น

ssh -T -vvv git@github.com 2>&1 | grep Offering

จะช่วยให้

debug1: Offering RSA public key: /Users/doxna/.ssh/id_rsa.github

เสนอคีย์เดียวเท่านั้นตามที่คาดไว้ แต่จากนั้นจึงไปยังโฮสต์ B ด้วยForwardAgent yesและทำซ้ำคำสั่งเดียวกันฉันจะได้รับ

debug1: Offering RSA public key: /Users/doxna/.ssh/id_rsa.linode2
debug1: Offering RSA public key: /Users/doxna/.ssh/id_rsa.helium
debug1: Offering RSA public key: /Users/doxna/.ssh/id_rsa.github

หมายความว่ามันจะลองใช้กุญแจทั้งหมดของฉัน นี่คือปัญหาตั้งแต่เพียงจำนวน จำกัด Too many authentication failuresของคีย์สามารถพยายามก่อนที่เซิร์ฟเวอร์ของผลตอบแทน ดังนั้นฉันจึงลองแก้ไข.ssh/configบนโฮสต์ B เพื่อรวม

Host github.com
  IdentityFile /Users/doxna/.ssh/id_rsa.github
  IdentitiesOnly yes

แต่ฉันก็ไม่ได้รับข้อเสนอที่สำคัญ

debug2: key: /Users/doxna/.ssh/id_rsa.github ((nil))

ซึ่งฉันเดาว่าหมายความว่าไม่พบกุญแจ (?) และหลังจากนั้นกุญแจอยู่ที่คอมพิวเตอร์ที่บ้าน A ไม่ใช่ host B ดังนั้นคำถามคือวิธีอ้างอิงถึงที่ host B? หวังว่าฉันจะสามารถอธิบายคำถามได้

คุณมีความคิดที่ถูกต้อง ส่วนเดียวที่คุณขาดหายไปคือไฟล์นั้นIdentityFileต้องชี้ไป ไม่จำเป็นต้องมีรหัสส่วนตัวการมีเพียงกุญแจสาธารณะที่มีอยู่ก็เพียงพอแล้ว

บนโฮสต์ B คุณสามารถแยกพับลิกคีย์จากเอเจนต์โดยพิมพ์ssh-add -L | grep /Users/doxna/.ssh/id_rsa.github > ~/.ssh/id_rsa.github.pubจากนั้นชี้ไปที่ไฟล์นั้น~/.ssh/config

คำตอบที่ดีจาก @Kasperd แต่โปรดทราบด้วยว่าหาก Host B ถูกบุกรุกหรือหากคุณไม่ไว้วางใจผู้ที่มีสิทธิ์ใช้งานรูทนั้นคุณก็จะยังคงเปิดเผยคีย์ทั้งหมดของคุณว่ามีการละเมิดตราบเท่าที่คุณเข้าสู่ระบบ ในโฮสต์นั้น

ดังนั้นวิธีที่ดีกว่าอาจเป็นการส่งต่อการเข้าถึงคีย์ที่คุณต้องการเท่านั้น อาจจะลองssh-agent-filterซึ่งอยู่ในเดเบียน / อูบุนตูที่เก็บหรือจากGitHub

แก้ไข: ฉันได้ตัดสินssh-identมากกว่าssh-agent-filterการส่งต่อปุ่มเลือกแม้ว่ามันจะไม่เป็นประสบการณ์ที่ราบรื่นอย่างที่ใคร ๆ ก็คาดหวัง