¿Cómo usar Mac OS X Keychain con claves SSH?

Entiendo que desde Mac OS X Leopard, el llavero ha admitido el almacenamiento de claves SSH. ¿Podría alguien explicar cómo se supone que funciona esta función?

Tengo algunas claves RSA que he generado almacenadas en mi directorio ~ / .ssh para acceder a varios servidores. No tengo frases de contraseña establecidas en esas teclas. Actualmente para iniciar sesión en esos servidores, uso los siguientes comandos en la Terminal:

eval `ssh-agent`
ssh-add ~ / .ssh / some_key_rsa
ssh usuario @ servidor

(He escrito algunas funciones de Bash para facilitar esto).

¿Hay una mejor manera de hacer esto usando el llavero?

Para que funcione, $SSH_AUTH_SOCKdebe señalarse la variable de entorno /tmp/launch-xxxxxx/Listeners. Se supone que esto debe hacerse automáticamente cuando inicie sesión. El oyente en ese socket habla el protocolo ssh-agent.

Sus scripts bash están iniciando su propio agente ssh (escrito ssh-agent, no ssh_agent) y anulando el existente ssh-agentque está configurado para usted al iniciar sesión.

Además, todo el objetivo del llavero es almacenar las contraseñas en sus claves ssh, pero usted dice que no tiene frases de contraseña establecidas en esas claves, por lo que no estoy seguro de lo que espera de la integración del llavero.

Finalmente, cuando inicie sesión por primera vez, probablemente no verá un proceso de agente ssh. Ese proceso se iniciará automáticamente mediante los servicios de inicio la primera vez que algo intente leer ese socket /tmp.

A partir del lanzamiento de Leopard de OS X, ssh-agent está más estrechamente integrado con Keychain. Es posible almacenar las frases de contraseña de todas sus claves SSH de forma segura en Keychain, desde el cual ssh-agent las leerá en el inicio. La conclusión es que es simple asegurar sus claves con frases de contraseña, ¡pero nunca tiene que escribir la frase de contraseña para usarlas! Aquí es cómo:

Agregue la frase de paso a cada clave ssh al llavero: (la opción -k solo carga claves privadas simples, omite certificados)

ssh-add -K [path/to/private SSH key]

(nota que es una K mayúscula)

Cada vez que reinicie su Mac, todas las claves SSH en su llavero se cargarán automáticamente. Debería poder ver las claves en la aplicación Keychain Access, así como desde la línea de comandos a través de:

ssh-add -l

A partir de macOS Sierra , ssh-agent ya no carga automáticamente las claves ssh cargadas previamente cuando inicia sesión en su cuenta. Esto es intencional por parte de Apple, querían realinearse con la implementación principal de OpenSSH . [1]

Como se explica aquí , este es el método recomendado desde macOS 10.12.2 :

1. Agregue las siguientes líneas a su ~/.ssh/configarchivo:

   Host *
       UseKeychain yes
       AddKeysToAgent yes
   

2. Cualquier clave que agregue al agente ssh utilizando el ssh-add /path/to/your/private/key/id_rsacomando se agregará automáticamente al llavero, y debe cargarse automáticamente al reiniciar.

Lo siguiente está en desuso (guardado como referencia).

Para volver al comportamiento anterior, debe ejecutar el ssh-add -Acomando (que carga automáticamente todas las claves ssh que tienen frases de contraseña en su llavero) cuando inicia sesión. Para ello, siga estos pasos:

1. Primero, agregue todas las claves que desea cargar automáticamente al agente ssh usando el ssh-add -K /absolute/path/to/your/private/key/id_rsacomando. El -Kargumento asegura que la frase clave se agregue al llavero de macOS . Asegúrese de utilizar la ruta absoluta a la clave. El uso de una ruta relativa hará que la secuencia de comandos iniciada automáticamente no encuentre su clave.

2. Asegúrese de que todas sus claves se muestren como agregadas cuando escriba ssh-add -A.

3. Crear un archivo llamado com.yourusername.ssh-add.plisten ~/Library/LaunchAgents/el contenido de abajo. Los archivos Plist como este son utilizados por launchdejecutar scripts cuando inicia sesión. [2] [3]

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
   <dict>
   <key>Label</key>
     <string>com.user.loginscript</string>
   <key>ProgramArguments</key>
     <array>
       <string>ssh-add</string>
       <string>-A</string>
     </array>
   <key>RunAtLoad</key>
     <true/>
   </dict>
   </plist>
   

4. Dile launchda cargar el archivo plist que acaba de crear mediante la ejecución: launchctl load ~/Library/LaunchAgents/com.yourusername.ssh-add.plist.

Y deberías estar listo.

Hay una manera más simple que la respuesta de Ricardo para mantener su contraseña entre sesiones / reinicios de su Mac con 10.12 Sierra.

1. ssh-add -K ~/.ssh/id_rsa
   Nota: cambie la ruta a donde se encuentra su clave id_rsa.
2. ssh-add -A

3. Cree (o edite si existe) el siguiente ~/.ssh/configarchivo:

   Host *
     UseKeychain yes
     AddKeysToAgent yes
     IdentityFile ~/.ssh/id_rsa
   

   ¡Ahora la contraseña se recuerda entre reinicios!

Apple cambió a propósito el comportamiento de ssh-agent en macOS 10.12 Sierra para que ya no cargue automáticamente las claves SSH anteriores, como se señaló en este OpenRadar , discusión en Twitter y nota técnica de Apple . La solución anterior imitará el comportamiento anterior de El Capitán y recordará su contraseña.

Nota: para macOS Sierra, consulte la respuesta más reciente de ChrisJF .

La [respuesta de Jeff McCarrell] [2] es correcta, excepto que el comando para agregar la frase de paso contiene un guión en lugar de un guión, es decir, en –Klugar de -Kprovocar un mensaje como efecto –K: No such file or directory. Debería leer:

ssh-add -K [path/to/private SSH key]

Sospecho que no estás usando el sshcomando predeterminado . ¿Te has sshinstalado a través de puertos? Intenta which sshver qué sshcomando estás usando.

Por lo general, debe mostrar un cuadro de diálogo pidiéndole su contraseña, si aún no está almacenada en su llavero.

Tuve un problema similar al intentar iniciar sesión con un certificado ssh del cliente. En este caso específico fue para acceder a un repositorio git. Esta fue la situación:

• La clave se guardó en ~/.ssh/
• La clave privada tiene una frase de contraseña.
• La frase de contraseña se almacena en el llavero de inicio de sesión de OS X. ~/Library/Keychains/login.keychain
• La conexión fue la siguiente: mi servidor ->remoto mac ->git / ssh de mac
• Mac OS X 10.8.5

Cuando me conecté a una Mac remota usando un escritorio remoto, no tuve ningún problema. Sin embargo, cuando me conecté con SSH al Mac remoto, siempre me pidieron la frase de contraseña ssh. Los siguientes pasos lo resolvieron por mí.

3. security unlock-keychainLa frase de contraseña se almacena en el llavero de inicio de sesión. Esto lo desbloquea y permite que ssh-agent acceda a él.
4. eval `ssh-agent -s`Inicia ssh-agent para uso de shell. Obtendrá la frase de contraseña del llavero y la usará para desbloquear la clave ssh privada.
5. Establecer la conexión ssh / git y hacer mi trabajo.
6. eval `ssh-agent -k` Mata al agente ssh en ejecución.
7. security lock-keychain Bloquee el llavero nuevamente.

Ver también:

security import priv_key.p12 -k ~/Library/Keychains/login.keychain
security import pub_key.pem -k ~/Library/Keychains/login.keychain

... agregando esta nota a medida que se solicitaban más detalles: el comando "seguridad" es capaz de importar claves (y otras cosas) directamente en Keychains. Lo bueno es que, a diferencia de ssh-add, puede especificar el llavero. Esto permite importar directamente en el sistema Llavero ("seguridad de hombre" para aprender cómo)

La solución destinada mejor y Apple (ya macOS 10.12.2) se describe aquí

Así que solo haz lo siguiente:

echo "UseKeychain yes" >> ~ / .ssh / config