Απομακρυσμένη χρήση smart card

**tsigarid** · 22-03-19, 22:18

Στη δουλειά συνδέομαι σε διάφορους υπολογιστές μέσω ssh με χρήση smart card, το PIN της, και στη συνέχεια τον κωδικό μου. Όλα καλά, κανένα πρόβλημα. Μπορώ να κάνω το ίδιο και σε απομακρυσμένους υπολογιστές; Αυτό που εννοώ είναι το εξής:

Υπολογιστής δουλειάς (windows 10) συνδέεται με SSH (via Cygwin και χρήση smart card) στον υπολογιστή Α (Linux). Μπορώ από τον Α να συνδεθώ με SSH στον Β, επίσης Linux, με τη smart card που έχω στον υπολογιστή της δουλειάς μου;

Δοκίμασα αυτό: http://juanjose.garciaripoll.com/blo...ent-on-windows αλλά στο βήμα 3 παίρνω access denied, πιθανότατα γιατί δεν είμαι administrator.

Ευχαριστώ.

sdikr · 22-03-19, 22:35

Αν το κάνεις ενα script στην δικιά σου επιφάνεια εργασίας δεν σε αφήνει μετά να το τρέξεις;

**tsigarid** · 22-03-19, 23:48

Αυτό από το βήμα 3 του λινκ; Όχι.

sdikr · 23-03-19, 01:24

Αρχικό μήνυμα από tsigarid

Αυτό από το βήμα 3 του λινκ; Όχι.

Αν δοκιμάσεις χωρίς το start/b μόνο δηλαδή το ssh-agent > %HOME%\.ssh-agent-env

**tsigarid** · 23-03-19, 01:54

Πολύ αργά τώρα, θα πρέπει να το δω τη Δευτέρα στη δουλειά.

**imitheos** · 23-03-19, 12:15

Ίσως να μην κατάλαβα ακριβώς τι θέλεις να κάνεις αλλά για αυτή τη δουλειά δεν έχει υλοποιηθεί το agent forwarding;

Στα windows τρέχεις κανονικά τον ssh-agent (αν κατάλαβα καλά βέβαια εδώ έχεις πρόβλημα) και κάνεις "ssh -A" στον υπολογιστή Α. Η παράμετρος -A ενεργοποιεί το agent forwarding (αρκεί βέβαια να το επιτρέπει ο sshd) οπότε οπουδήποτε προσπαθήσεις να συνδεθείς από τον υπολογιατή Α, το ssh θα μιλήσει με τον agent που τρέχει στα windows οπότε θα δουλέψει με την smartcard.

**tsigarid** · 23-03-19, 18:49

Αρχικό μήνυμα από imitheos

Ίσως να μην κατάλαβα ακριβώς τι θέλεις να κάνεις αλλά για αυτή τη δουλειά δεν έχει υλοποιηθεί το agent forwarding;

Στα windows τρέχεις κανονικά τον ssh-agent (αν κατάλαβα καλά βέβαια εδώ έχεις πρόβλημα) και κάνεις "ssh -A" στον υπολογιστή Α. Η παράμετρος -A ενεργοποιεί το agent forwarding (αρκεί βέβαια να το επιτρέπει ο sshd) οπότε οπουδήποτε προσπαθήσεις να συνδεθείς από τον υπολογιατή Α, το ssh θα μιλήσει με τον agent που τρέχει στα windows οπότε θα δουλέψει με την smartcard.

Το δοκίμασα, αλλά όταν πάω να κάνω ssh από τον Α στον Β δεν γίνεται τίποτα, σαν να κολλάει κάτι. Δεν ζητάει κωδικό, PIN, τίποτα, απλά περιμένει...

**pmav99** · 23-03-19, 19:44

όταν τρέχεις το SSH δοκίμασε να βάλεις -v, -vv, -vvv μέχρι να δεις που κολλάει

**tsigarid** · 23-03-19, 20:09

Αρχικό μήνυμα από pmav99

όταν τρέχεις το SSH δοκίμασε να βάλεις -v, -vv, -vvv μέχρι να δεις που κολλάει

Εδώ κολλάει:

Κώδικας:

OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
debug1: Reading configuration data /home/ΧΧΧΧΧ/.ssh/config
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to ΧΧΧΧΧ [ΧΧΧ.ΧΧΧ.ΧΧΧ.ΧΧΧ] port 22.
debug1: Connection established.
debug1: identity file /home/ΧΧΧΧΧ/.ssh/identity type -1
debug1: identity file /home/ΧΧΧΧΧ/.ssh/identity-cert type -1
debug1: identity file /home/ΧΧΧΧΧ/.ssh/id_rsa type 1
debug1: identity file /home/ΧΧΧΧΧ/.ssh/id_rsa-cert type -1
debug1: identity file /home/ΧΧΧΧΧ/.ssh/id_dsa type -1
debug1: identity file /home/ΧΧΧΧΧ/.ssh/id_dsa-cert type -1
debug1: identity file /home/ΧΧΧΧΧ/.ssh/id_ecdsa type -1
debug1: identity file /home/ΧΧΧΧΧ/.ssh/id_ecdsa-cert type -1

Σου λέει κάτι;

**imitheos** · 23-03-19, 20:34

Πάλι θα πω χαζομάρα αλλά τι έκδοση έχει το ssh-agent / ssh στα windows; Αυτό το 5.3p1 είναι στον υπολογιστή Α; Μήπως παίζει κάποια ασυμβατότητα με τους αλγορίθμους των κλειδιών;

Το openssh εννοείται ότι φροντίζει να έχει συμβατότητα προς τα πίσω αλλά ίσως σε συνδυασμό με την smartcard να γίνεται κάποια βλακεία. Το 5.3p1 πρέπει να είναι πάρα πολύ παλιό αν σκεφτούμε ότι τώρα είμαστε στο 7.9.

Εγώ χρησιμοποιώ συνέχεια την smartcard αλλά όχι σε windows (ssh 7.9p1 και gnupg 2.2.14).

**tsigarid** · 23-03-19, 21:02

Αρχικό μήνυμα από imitheos

Πάλι θα πω χαζομάρα αλλά τι έκδοση έχει το ssh-agent / ssh στα windows; Αυτό το 5.3p1 είναι στον υπολογιστή Α; Μήπως παίζει κάποια ασυμβατότητα με τους αλγορίθμους των κλειδιών;

Το openssh εννοείται ότι φροντίζει να έχει συμβατότητα προς τα πίσω αλλά ίσως σε συνδυασμό με την smartcard να γίνεται κάποια βλακεία. Το 5.3p1 πρέπει να είναι πάρα πολύ παλιό αν σκεφτούμε ότι τώρα είμαστε στο 7.9.

Εγώ χρησιμοποιώ συνέχεια την smartcard αλλά όχι σε windows (ssh 7.9p1 και gnupg 2.2.14).

Τοπικά (windows/Cygwin) έχω αυτό:

OpenSSH_7.9p1, OpenSSL 1.0.2r 26 Feb 2019

Η άλλη έκδοση που βλέπεις είναι στον υπολογιστή Α.

- - - Updated - - -

Και ναι, το λειτουργικό του υπολογιστή Α είναι πολύ παλιό (κάποιο αρχαίο CentOS έχει), αλλά δεν εξαρτάται από μένα αυτό.

**imitheos** · 23-03-19, 21:46

Αν θέλεις να κάνεις δοκιμές, το δικό μου setup είναι το εξής (την smartcard την δουλεύει το gnupg οπότε ουσιαστικά κάνω forwarding το gpg-agent και όχι το ssh-agent. έχει το σκέτο ssh υποστήριξη για smartcard; ) :

Επαλήθευσα μόλις τώρα ότι δουλεύει.

Στον υπολογιστή που είναι τα δικά σου "windows" έχω τα εξής:
Έχω μια καταχώρηση στο .ssh/config με τον "υπολογιστή Α"

Κώδικας:

Host compA
Hostname τάδε
User τάδε
# RemoteUserDir LocalUserDir
RemoteForward /run/user/1031/gnupg/S.gpg-agent /run/user/1031/gnupg/S.gpg-agent.extra
RemoteForward /run/user/1031/gnupg/S.gpg-agent.ssh /run/user/1031/gnupg/S.gpg-agent.ssh

Στους οδηγούς που είχα βρει, έλεγαν να βάλεις μόνο το πρώτο και θα παίζουν όλα αλλά έχω την εντύπωση ότι χρειάστηκα και το 2ο. Δεν θυμάμαι στα σίγουρα γιατί το έβαλα.

Edit: Ξέχασα να αναφέρω ότι όλα αυτά γίνονται μόνο με gnupg > 2.1. Αν το centos τρέχει τίποτα gpg 1.X ή έστω 2.0, τότε δεν χρειάζεται να προσπαθήσεις καν.

Ανάλογα με το πως είναι ρυθμισμένη η διανομή και τι έκδοση gnupg έχεις, μπορεί να έχεις διαφορετικά paths σε local και remote. Το /run/user είναι σχετικά νέα σύμβαση και παλαιότερα τα sockets ήταν στο $HOME/.gnupg. Τρέχεις το παρακάτω σε local και remote και βλέπεις τι πρέπει να βάλεις. Όπως βλέπεις, το local socket είναι το extra το οποίο γίνεται forward σαν κεντρικό socket στον remote.

Κώδικας:

% gpgconf --list-dirs agent-extra-socket

Στον "υπολογιστή Α" χρειάζομαι να έχω τα public keys μου ώστε να γνωρίζει ποιο κλειδί θα ζητήσει από τον agent των windows. Μόνο τα public keys οπότε δεν έχεις θέμα ασφάλειας. Στο αρχείο εκκίνησης του shell έχω

Κώδικας:

export SSH_AUTH_SOCK="/run/user/${UID}/gnupg/S.gpg-agent.ssh"
export GPG_TTY=$(tty)

Spoiler:

Τρέχοντας ssh -v compA παίρνω

Κώδικας:

OpenSSH_7.9p1, OpenSSL 1.1.0j  20 Nov 2018
debug1: Reading configuration data /home/localwindowsuser/.ssh/config
debug1: /home/localwindowsuser/.ssh/config line 19: Applying options for compA
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Connecting to compA-IP [compA-IP] port 22.
debug1: Connection established.
debug1: identity file /home/localwindowsuser/.ssh/id_rsa type -1
..... more .....
debug1: Local version string SSH-2.0-OpenSSH_7.9
debug1: Remote protocol version 2.0, remote software version OpenSSH_7.6

debug1: Authenticating to compA-IP:22 as 'useratcompA'
debug1: Host '[compA-IP]:22' is known and matches the ECDSA host key.
debug1: Found key in /home/localwindowsuser/.ssh/known_hosts:21
debug1: Will attempt key: cardno:S-NO RSA SHA256:keyID/yrTfh/IwE agent
debug1: Will attempt key: (none) RSA SHA256:keyID/yrTfh/IwE agent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,keyboard-interactive
debug1: Next authentication method: publickey
debug1: Offering public key: cardno:S-NO RSA SHA256:keyID/yrTfh/IwE agent
Authenticated to compA-IP ([compA-IP]:22).
debug1: Remote connections from /run/user/1031/gnupg/S.gpg-agent:-2 forwarded to local address /run/user/1031/gnupg/S.gpg-agent.extra:-2
debug1: Remote connections from /run/user/1031/gnupg/S.gpg-agent.ssh:-2 forwarded to local address /run/user/1031/gnupg/S.gpg-agent.ssh:-2
debug1: remote forward success for: listen /run/user/1031/gnupg/S.gpg-agent:-2, connect /run/user/1031/gnupg/S.gpg-agent.extra:-2
debug1: remote forward success for: listen /run/user/1031/gnupg/S.gpg-agent.ssh:-2, connect /run/user/1031/gnupg/S.gpg-agent.ssh:-2

Όπως βλέπεις, βλέπει την κάρτα μου και πάει να χρησιμοποιήσει το authentication κλειδί. Αν είναι η πρώτη φορά θα μου ζητήσει να βάλω PIN αλλιώς απλά θα μου ζητήσει αν θέλω να χρησιμοποιήσω το κλειδί.

Κώδικας:

% gpg2 -d enc-test
debug1: client_request_forwarded_streamlocal: /run/user/1031/gnupg/S.gpg-agent
debug1: connect_next: host /run/user/1031/gnupg/S.gpg-agent.extra ([unix]:/run/user/1031/gnupg/S.gpg-agent.extra) in progress, fd=8
debug1: channel 1: new [forwarded-streamlocal]
debug1: confirm forwarded-streamlocal@openssh.com
debug1: channel 1: connected to /run/user/1031/gnupg/S.gpg-agent.extra port -2
gpg: encrypted with 2048-bit RSA key, ID τάδε, created τάδε
      "My Name"
gg

Εδώ έτρεξα το gnupg σε ένα αρχείο που κρυπτογράφησα στα "windows" ώστε να δω πρώτα αν παίζει το σκέτο gnupg με forwarding πριν δοκιμάσω το ssh. Όπως βλέπεις, παίρνω κανονικά το plaintext "gg" που ήταν το σωστό.

Κώδικας:

% ssh -v git@gitlab.com
OpenSSH_7.6p1, OpenSSL 1.1.0i-fips  14 Aug 2018
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 25: Applying options for *
debug1: Connecting to gitlab.com [35.231.145.151] port 22.
debug1: Connection established.
debug1: key_load_public: No such file or directory
debug1: identity file /home/useratcompA/.ssh/id_rsa type -1
... more ...
debug1: Authenticating to gitlab.com:22 as 'git'
debug1: client_request_forwarded_streamlocal: /run/user/1031/gnupg/S.gpg-agent.ssh
debug1: connect_next: host /run/user/1031/gnupg/S.gpg-agent.ssh ([unix]:/run/user/1031/gnupg/S.gpg-agent.ssh) in progress, fd=8
debug1: channel 1: connected to /run/user/1031/gnupg/S.gpg-agent.ssh port -2
debug1: Offering public key: RSA SHA256:keyID/IwE cardno:000500001A48
debug1: Server accepts key: pkalg rsa-sha2-512 blen 279
debug1: Authentication succeeded (publickey).
Authenticated to gitlab.com ([35.231.145.151]:22).
Welcome to GitLab, @myusernameatgitlab

Τα ίδια και με SSH αλλού. Πήρα στον "υπολογιστή windows" μήνυμα ότι ένα πρόγραμμα θέλει να χρησιμοποιήσει την κάρτα μου και πάτησα accept οπότε και ο "υπολογιστής A" συνδέθηκε στο gitlab.

Ελπίζω να βοήθησα και να μη σε μπέρδεψα περισσότερο. Περίμενε αν θέλεις μήπως απαντήσει κάποιος που έχει περισσότερες γνώσεις από windows και σκέτο ssh.

**pmav99** · 23-03-19, 23:17

BTW, και το openssl είναι αρχαίο άρα κατά πάσα πιθανότητα σουρωτήρι.

@tsigarid μπορείς να δοκιμάσεις να συνδεθείς μέσω άλλου server; Ή το τελικό μηχάνημα είναι σε LAN στο οποίο αποκτάς πρόσβαση μέσω του πρώτου μηχανήματος;

**tsigarid** · 24-03-19, 00:22

Αρχικό μήνυμα από pmav99

BTW, και το openssl είναι αρχαίο άρα κατά πάσα πιθανότητα σουρωτήρι.

@tsigarid μπορείς να δοκιμάσεις να συνδεθείς μέσω άλλου server; Ή το τελικό μηχάνημα είναι σε LAN στο οποίο αποκτάς πρόσβαση μέσω του πρώτου μηχανήματος;

Φυσικά και είναι σουρωτήρι, αλλά δεν μπορώ να κάνω τίποτα εγώ, δεν εξαρτάται από μένα. Ο υπολογιστής είναι σε εσωτερικό δίκτυο και προστατεύεται από παρανοϊκό firewall, καθώς ανήκει σε μεγάλο οργανισμό, οπότε μάλλον γι' αυτό δεν ανησυχούν ιδιαίτερα. Τέλος πάντων. Η λύση να συνδεθώ μέσω άλλου server είναι άσχετη, θέλω να πηγαινοέρχομαι ανάμεσα σε αυτούς τους δύο υπολογιστές, οπότε δεν μπορώ να παρακάμψω έναν από τους δύο. Μπορώ να κάνω το Β->Α τώρα, γιατί η διαπίστευση με smart card δεν χρειάζεται προς αυτή την κατεύθυνση, το Α->Β παλεύω.

@imitheos ευχαριστώ, αλλά:
gpgconf (GnuPG) 2.0.14

**pmav99** · 24-03-19, 17:16

Το να δοκιμάσεις μέσω άλλου server είναι για να δεις αν δουλεύει γενικά το agent forwarding και ότι δεν έχει να κάνει με τα win/cygwin.

Θέμα: Απομακρυσμένη χρήση smart card

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές