¿Cómo pegar el bloqueo de ssh-agent al inicio de sesión de Windows?

8

¿De alguna manera es posible desbloquear automáticamente mis claves privadas para la autenticación ssh al iniciar sesión en Windows y (des) bloquearlas cuando (des) bloquear mi sesión?

Actualmente estoy usando el agente ssh de msys, pero podría usar la imagen, por ejemplo, charade como envoltorio para el concurso de masilla, si ya existe una mejor solución para eso.

Tobias Kienzler
fuente
2
Solo tengo una clave sin contraseña encriptada con EFS, que es transparente para ssh-agentque la clave se pueda cargar automáticamente sin dejar de ser segura.
usuario1686
@grawity: gracias, ¡eso es aún más fácil! si publica esto como respuesta, aceptaré editar la corrección, no puedo ya que mi administrador no configuró EFS correctamente :(
Tobias Kienzler
¿En un dominio de Active Directory? (Si no tiene un certificado, cipher /kdebe crear uno nuevo, aunque será
autofirmado
@grawity: gracias. Lo intenté, pero nada cambió. Comencé una nueva pregunta para este problema: no se pueden cifrar archivos (usando EFS) en un dominio
Tobias Kienzler

Respuestas:

1

Grawity solo tiene una clave sin contraseña encriptada con EFS, que es transparente para ssh-agent, por lo que la clave se puede cargar automáticamente mientras se mantiene segura. También sugiere lo siguiente para Active Directory: si no tiene un certificado, cipher /kdebe crear uno nuevo, aunque será autofirmado .

Tom Wijsman
fuente
Básicamente es una buena idea, pero como se mencionó, el cifrado de archivos no funciona. cipher /kfunciona bien, pero todavía obtengo "La política de recuperación configurada para este sistema contiene un certificado de recuperación no válido", pero arreglar eso (ver aquí ) requiere privilegios de administrador ... Supongo que me quedaré con la hibernación o una clave sin contraseña sin cifrar
Tobias Kienzler
@Tobias: ¿Qué quieres decir? ¿No tienes privilegios de administrador? Debe usarlos o pedirle al administrador del sistema que lo haga por usted. Si no tiene forma de acceder a la cuenta de administrador, intente reinstalar si es su sistema operativo personal o deje de intentarlo si es un sistema operativo empresarial. Quizás considere usar una solución basada en Windows como Terminal Services ...
Tamara Wijsman
está en funcionamiento y nuestro administrador (que no otorgará permisos de administrador a nadie) está lo suficientemente ocupado como para mantener nuestro clúster en comparación con este problema solo por conveniencia
Tobias Kienzler
1

Es posible que pueda restaurar el estado de las claves privadas que se desbloquean al hibernar el proceso en el estado en que las claves privadas no están ocultas; entonces, cada vez que lo necesite, puede iniciar el estado de hibernación que capturó la primera vez. Técnicamente, podría funcionar ...

De lo contrario, intente configurar un script ( tal vez basado en AutoIt ) para hacer lo que haría de forma manual.

Tamara Wijsman
fuente
No me gusta la idea de poner mi texto sin cifrar en un script, entonces preferiría una clave sin contraseña sin cifrar. Pero la hibernación es una idea buena, tan sólo pudiera hibernación ventanas en lugar de apagarlo que debe mantener la instancia de ssh-agent.exe
Tobias Kienzler
1
@Tobias: El punto es que lo que está preguntando es esencialmente vincular el bloqueo de su agente SSH a su inicio de sesión de Windows; la única forma de hacerlo es mediante secuencias de comandos del Programador de tareas para los eventos de inicio de sesión, bloqueo y cierre de sesión. Puede hacer que la secuencia de comandos solo sea legible por el usuario que ha configurado en el Administrador de tareas y puede almacenar la contraseña de forma cifrada y descifrarla cuando la necesite. Lo único que queda aquí es que alguien te robe el disco duro, pero por eso se inventaron EFS y TrueCrypt. Que o bien introducir su contraseña o lograr que se haga automáticamente por almacenarlo en algún lugar ...
Tamara Wijsman
1
es verdad. Aceptaré la respuesta EFS de tu / grawity, ya que esa es la solución que usaría si funcionara. De hecho, considero usar un archivo de clave no encriptado (con permisos exclusivos) ya que cualquier persona capaz de acceder al disco duro respectivo estaría en la misma habitación que la máquina en la que ssh: - / ¡gracias por sus dos respuestas!
Tobias Kienzler