Ssh-agent : passphrase non demandée par défaut ?

Tags: #<Tag:0x00007fb42a292d50>

Bonjour à tous,
je suis en train de configurer un poste client sous Debian 9 qui aura pour vocation de se connecter à un serveur ssh distant.

Je me suis créé sous le user donut une paire de clef par :
$ ssh-keygen -t rsa -b 4096 -C "Clef de Donut" -f /home/donut/.ssh/clef_donut

J’ai rentré une passphrase et les deux clefs clef_donut et clef_donut.pub ont bien été créés dans le répertoire local .ssh

Or, au reboot de la machine et sans avoir entré ma passphrase à aucun moment, je vois que ma clef est bel et bien intégrée dans ssh-agent ?!!

$ ssh-add -l
4096 SHA256:XXXXXXXXXX Clef de Donut (RSA)

Quid ? Je n’ai pas réussi à trouver quel mécanisme chargeait par défaut automatiquement ma clef dans ssh-add et surtout, comment la clef a-t-elle pu être chargée sans me demander la passphrase ?

Merci d’avance pour vos retours, je débute un peu avec ssh et je veux faire les choses proprement :wink:

Bonne journée à tous !

Donut.

En farfouillant un peu, j’ai trouvé ça :

  1. Qui lance ssh-agent ?

    $ ps -fax | grep -B 1 ssh-agent
    939 tty2 Sl+ 0:00 \_ /usr/lib/gnome-session/gnome-session-binary
    985 ? Ss 0:00 \_ /usr/bin/ssh-agent x-session-manager

Donc c’est gnome-session-binary qui (pid 939) qui lance ssh-agent (id 985), l’argument de ssh-agent est x-session-manager. Donc on exécute ssh-agent qui lance ensuite x-session-manager et tous les fils de x-session-manager bénéficieront de l’héritage des variables d’environnement de ssh-agent. Est-ce correct ?

Je remarque d’ailleurs qui se je change de session avec Ctrl+Alt+x pour me connecter sans démarrer d’environnement graphique, ssh-add -l ne fonctionne plus

  1. Ou est défini l’utilisation de ssh-agent ?

Dans les paramètres de X11 ? Il semble que oui :

$ grep 'ssh' /etc/X11/Xsession.options
use-ssh-agent

En revanche, je ne sais pas trop où regarder pour les paramètres de gnome ??

Néanmoins, je vois qu’elle apparaît dans mon trousseau de clef Gnome (onglet Shell Sécurisé >> Clés OpenSSH). C’est sans doute grâce à cela que mon loggin a pu déverrouiller la clef ?? Comment puis-je m’en assurer ?

Merci d’avance :slight_smile:

Donut