Как удалить ключевую фразу для ключа SSH без необходимости создания нового ключа?

Question

Как удалить ключевую фразу для ключа SSH без необходимости создания нового ключа?

495

Я установил парольную фразу при создании нового SSH-ключа на моем ноутбуке. Но, как я понимаю сейчас, это довольно болезненно, когда вы пытаетесь совершить (Git и SVN) в удаленном месте через SSH много раз в час.

Один из способов, о котором я могу думать, - удалить мои ключи SSH и создать новый. Есть ли способ удалить кодовую фразу, сохраняя при этом одни и те же ключи?

btbytes 21 сен. 2008, в 21:49

Источник

9

Я думаю, что строгий ответ на самом деле является ответом Торстена Марека. Трюк ssh-agent может быть тем, что вы ищете, но это ответ на другой вопрос.
tardate 22 сен. 2008, в 06:45
8

Хотя это хороший вопрос, он может быть лучше подходит для superuser.com.
Eddie Parker 15 апр. 2010, в 18:01
1

Фраза-пароль - это не просто ключ для разблокировки закрытого ключа SSH, но и часть механизма шифрования. Одна часть - это ваш SSH-ключ, другая - пароль, введенный вручную. Только если обе части верны, составной ключ, сгенерированный из них на лету, будет действительным. Таким образом, другая ключевая фраза соответствует другому SSH-ключу (и никакая ключевая фраза не является частным случаем «другой ключевой фразы»).
Paul 19 авг. 2014, в 06:59
75

Закрытие таких вопросов похоже на обсуждение побочных эффектов в языках программирования, потому что они «чистые» или нет. Пуристы всегда впадают в бешенство, в то время как другим наплевать, потому что это полезная функция и облегчает жизнь. Нужен ssh, даже если он не связан строго с программированием ... не закрывайте такие вопросы. : |
sjas 28 авг. 2014, в 09:00
0

Я согласен, что это хороший вопрос, и если моды хотят переместить его в SuperUser с перенаправлением, это замечательно, но его не следует просто закрывать, когда сообщество так сильно говорит
Alan H. 14 окт. 2017, в 00:34
0

вау 577 другие люди такие же психы как я
tofutim 17 март 2018, в 02:06

Показать ещё 4 комментария

Теги:

unix

ssh

passwords

openssh

passphrase

2 ответа

27

Возможно, вы захотите добавить следующее в свой .bash_profile (или эквивалент), который запускает ssh-agent при входе в систему.

if [ -f ~/.agent.env ] ; then
    . ~/.agent.env > /dev/null
    if ! kill -0 $SSH_AGENT_PID > /dev/null 2>&1; then
        echo "Stale agent file found. Spawning new agent… "
        eval `ssh-agent | tee ~/.agent.env`
        ssh-add
    fi 
else
    echo "Starting ssh-agent"
    eval `ssh-agent | tee ~/.agent.env`
    ssh-add
fi

На некоторых дистрибутивах Linux (Ubuntu, Debian) вы можете использовать:

ssh-copy-id -i ~/.ssh/id_dsa.pub username@host

Это скопирует сгенерированный идентификатор на удаленный компьютер и добавит его в удаленный брелок.

Здесь вы можете прочитать здесь и здесь.

mlambie 22 сен. 2008, в 01:48

7

Разве современный дистрибутив не запускает ssh-agent из коробки?
Troels Arvin 20 нояб. 2008, в 08:18
0

В некоторых дистрибутивах Linux (Ubuntu, Debian) вы можете использовать: ssh-copy-id -i ~ / .ssh / id_dsa.pub username @ host Если, конечно, у вас есть доступ таким образом. И хотя это с 2008 года, возможно, его следует отредактировать так, чтобы он ссылался на id_rsa.pub (да, я мог бы отредактировать его, но я не чувствую себя комфортно, делая это для чужих работ - и особенно это касается чего-то подобного).
Pryftan 23 окт. 2018, в 13:01
0

@TroelsArvin Да. Но иногда бывают случаи, когда его убивают (хотя обстоятельства, с которыми я столкнулся, не приходят в голову - если, возможно, у X11 не возникнет проблема, и вам не придется ее перезапускать ... это может быть одним из таких случаев). В этом случае вы должны «воссоздать» его.
Pryftan 23 окт. 2018, в 13:03

Показать ещё 1 комментарий

Ещё вопросы

Я думаю, что строгий ответ на самом деле является ответом Торстена Марека. Трюк ssh-agent может быть тем, что вы ищете, но это ответ на другой вопрос.
Хотя это хороший вопрос, он может быть лучше подходит для superuser.com.
Фраза-пароль - это не просто ключ для разблокировки закрытого ключа SSH, но и часть механизма шифрования. Одна часть - это ваш SSH-ключ, другая - пароль, введенный вручную. Только если обе части верны, составной ключ, сгенерированный из них на лету, будет действительным. Таким образом, другая ключевая фраза соответствует другому SSH-ключу (и никакая ключевая фраза не является частным случаем «другой ключевой фразы»).
Закрытие таких вопросов похоже на обсуждение побочных эффектов в языках программирования, потому что они «чистые» или нет. Пуристы всегда впадают в бешенство, в то время как другим наплевать, потому что это полезная функция и облегчает жизнь. Нужен ssh, даже если он не связан строго с программированием ... не закрывайте такие вопросы. : |
Я согласен, что это хороший вопрос, и если моды хотят переместить его в SuperUser с перенаправлением, это замечательно, но его не следует просто закрывать, когда сообщество так сильно говорит
вау 577 другие люди такие же психы как я
Разве современный дистрибутив не запускает ssh-agent из коробки?
В некоторых дистрибутивах Linux (Ubuntu, Debian) вы можете использовать: ssh-copy-id -i ~ / .ssh / id_dsa.pub username @ host Если, конечно, у вас есть доступ таким образом. И хотя это с 2008 года, возможно, его следует отредактировать так, чтобы он ссылался на id_rsa.pub (да, я мог бы отредактировать его, но я не чувствую себя комфортно, делая это для чужих работ - и особенно это касается чего-то подобного).
@TroelsArvin Да. Но иногда бывают случаи, когда его убивают (хотя обстоятельства, с которыми я столкнулся, не приходят в голову - если, возможно, у X11 не возникнет проблема, и вам не придется ее перезапускать ... это может быть одним из таких случаев). В этом случае вы должны «воссоздать» его.

Torsten Marek · Accepted Answer · 2008-09-21T23-27-00.000Z

1046

Лучший ответ

Короткий ответ:

$ ssh-keygen -p

Затем вам будет предложено ввести местоположение ключевого файла, старую фразу и новую кодовую фразу (которую можно оставить пустым, чтобы не иметь парольной фразы).

Если вы хотите сделать все это на одной строке без подсказок:

$ ssh-keygen -p [-P old_passphrase] [-N new_passphrase] [-f keyfile]

Важно:. Остерегайтесь того, что при выполнении команд они обычно записываются в ваш ~/.bash_history файл (или аналогичный) в виде обычного текста, включая все предоставленные аргументы (т.е. парольные фразы в этом случае). Поэтому рекомендуется использовать первый вариант, если у вас нет конкретной причины для этого.

Возможно, вам захочется использовать ssh-agent, который может кэшировать временную фразу. Последние версии gpg-агента также поддерживают протокол, который используется ssh-agent.

Torsten Marek 21 сен. 2008, в 23:27

430

Чтобы быть точным: вы можете просто запустить ssh-keygen -p в терминале. Затем вам будет предложено ввести ключевой файл (по умолчанию это правильный файл для меня, ~/.ssh/id_rsa ), старую фразу-пароль (введите то, что у вас есть сейчас) и новую фразу-пароль (ничего не вводить).
Henrik N 25 апр. 2011, в 19:51
25

Ex. : ssh-keygen -p -P oldpassphrase -N "" -f ~/.ssh/id_rsa
Fedir RYKHTIK 11 май 2016, в 17:54
0

ааа, использовать замазку. Его кроссплатформенность, и вы можете делать вещи через графический интерфейс. загрузить ключ и удалить пароль, затем сохранить приватный ключ :)
Dr Deo 29 июль 2016, в 06:44
18

-1 для того, чтобы пользователь ввел свой пароль в терминале и сделал его доступным через ~/.bash_history . Лучше набрать: $ cd ~/.ssh && ssh-keygen -f id_dsa -p
betoharres 26 сен. 2016, в 17:32
0

Вы, ребята, должны заметить, что если вы вводите команду, чтобы оболочка запустила (белое) пространство, то эта команда не записывается в ~/.bash_hstory т.е. используйте `ssh-keygen -p -P oldpassphrase -N" "-f ~ / .ssh / id_rsa` и все в порядке (если у вас там нет другого кейлоггера). Вы также можете избавиться от записи из истории ..
Huge 29 нояб. 2016, в 05:42
0

Если вы когда-нибудь захотите удалить всю сессию bash из записи, вы можете просто kill -9 $$ так как $$ является текущим pid.
Bruno Bronosky 26 янв. 2017, в 17:56
0

@ Ой, это не всегда так. Я не отрицаю, что ваша система это делает. Но, если это произойдет, это из-за специальной конфигурации.
Bruno Bronosky 26 янв. 2017, в 17:56
0

@BrunoBronosky Право, переменные среды HISTCONTROL приводят, какие форматы команд записаны, а какие нет. Обычно он установлен как HISTCONTROL=ignorespace в .bashrc по умолчанию.
Huge 06 фев. 2017, в 10:08
8

Возможно, стоит добавить строку, в которой говорится, что это перезапишет существующий файл, а не запросит новое местоположение.
Lars Francke 25 апр. 2017, в 10:04
0

@betoharres Если вы собираетесь туда попасть, то вам также следует указать, что, например, в X11 вы можете отслеживать все нажатия клавиш (хотя я не могу вспомнить, как именно вы все еще можете) ... И использует ли OP операционную систему или нет. X11 не имеет отношения к моей точке зрения.
Pryftan 23 окт. 2018, в 12:58
1

@BrunoBronosky Зачем вообще беспокоиться об этом? Просто сделайте history -c чтобы очистить это. Вы также можете, если вас не волнует история, соединить ее с /dev/null . Вы также можете удалить определенные записи в файле истории. Вы также можете редактировать файл напрямую. Или, может быть, вы имеете в виду только эту сессию? Перечитывая это, возможно, вы имеете в виду это?
Pryftan 23 окт. 2018, в 12:59

Показать ещё 9 комментариев