Хорошо зафиксированный сокет в мягких линках не нуждается

[phd_ru]

Я дозрел, наконец, начать запускать screen автоматом на удалённых серверах (пока сам, без сына). Начал отсюда, благо там эта проблема уже разжёвана. И быстро наткнулся, что тамошнее решение мне надо допиливать в самую неожиданную сторону.

Тут же выяснилось, что fix_ssh_auth_sock мне не нужен совсем, у меня этот сокет и так зафиксирован, благо я пользуюсь не ssh-agent, а gpg-agent, и сокет у меня ~/.gnupg/S.gpg-agent.ssh.

Далее, if [ -n "$SSH_CONNECTION" ]; then exec screen -xRR; fi. Проблема оказалась в том, что bash выполняет .profile и в интерактивном, и в неинтерактивном шеллах, а в неинтерактивном screen совсем не нужен. Например, в ssh -t host command, или когда ssh используется как транспорт для git или rsync. Пришлось добавить в .profile проверки на интерактивность. В результате хвост моего .profile стал выглядеть так:

# If not running interactively, don't do anything
case $- in
    *i*) ;;
      *) return ;;
esac

# Stop if non-interactive shell
[ -z "$PS1" ] && return

if [ -n "$SSH_CONNECTION" -a -z "$STY" -a -t 0 ] &&
   which screen >/dev/null 2>&1
then
   exec screen -xRR -S default
fi

Полностью можно посмотреть в https://phdru.name/Software/dotfiles/ и https://git.phdru.name/dotfiles.git/

Upd. Я вернул прежний .profile, т.е. удалил запуск screen. Вместо этого я делаю запуск screen вместе с терминалом и ssh:

rxvt-unicode -e ssh -t remote_host exec screen -xRR -S default

X-Post: ЖЖ

Comments

[vitus_wagner]

1. И что, на ТОМ конце куда агент пробрасыватеся посредством ssh agent forwarding, там тоже одинаковое имя сокета получается?

2. У тебя проблемы в ситуации "зашли с B на A, а потом с какого-то перепугу решили сходить интерактивно с A на B" не возникает?

[phd_ru]

Я редко пользуюсь пробрасыванием агента. Не помню, когда последний раз был.

Ситуация №2 изредка — раз в несколько лет — бывает, я пока её не решал. Будет чаще — буду решать. Копию кода fix_ssh_auth_sock я себе прикопал, пусть пока лежит без дела.

[vitus_wagner]

Я с трудом могу себе представить как можно жить без пробрасывания агента.
Типичный пример - ну вот зашел ты на какую-то машину в офисе из дома, работаешь там. И надо тебе с офисного же сервера что-нибудь из какой-нибудь VCS зачекаутить или просто файлик по scp вытащить.

Я зубы наточил на разрекламированный тобой gpg-agent, понадеявшись на то, что с его помощью можно будет и
подписывать что-то ТАМ, пользуясь ключами ЗДЕСЬ через сколько надо промежуточных хопов.

Но так судя описанию в info он мало того, что этого не умеет, он еще и пассфразу норовит спросить не там, где юзер сидит, а там, где введена команда. Хотя от этого он как раз вроде бы отучается.

[phd_ru]

> Я с трудом могу себе представить как можно жить без пробрасывания агента.

Я же сказал — бывает нужно. Но настолько редко, что пока не автоматизировал.

> пассфразу норовит спросить не там, где юзер сидит, а там, где введена команда

Я запускаю агент до Иксов, т.е. та консолька, где он запущен, всё равно занята, и там он спросить ничего не может.

Спрашивает пароль он с помощью программы pinentry. Текстовую версию можно перетащить на другую консоль, но это неудобно — пойди вспомни, что тебе надо на эту консоль переключится в 12 виртуальных экранах. Я предпочитаю графический pinentry-gtk2, а он спрашивает пароль ровно там, где я нахожусь, в центре экрана, поверх всех окон.

[vitus_wagner]

Вот идея что что-то может быть до запуска X-ов она тоже для меня странная.
У меня критический рубеж после которого я забыл о существовании текстовых консолей был 24 Мегабайта памяти на рабочей станции. После этого рубежа я стал считать что памяти хватате для запуска X-ов до логина. Было это где-то году в 96.

Поэтому сейчася у меня агент запускается в ходе процедуры инициализации сессии через pam-ssh, вызываемого изнутри lightdm. И, естественно, никакого tty вообще не имеет.

[phd_ru]

У каждого свои способы работы. Я предпочитаю запускать startx руками в консоли. И не иметь никаких DM.

То, что ты предлагаешь — не просто усложнение, это неоправданное усложнение. Куча программ, которые нужно ставить и настраивать, и которые ничего не дают в плане функциональности или удобства. Вообще ничего.

[vitus_wagner]

Я предпочитаю делать руками только уникальные вещи, требующие принятия решений (необязательно творческих).

Пока решение "работать в графике или работать в текстовом режиме" было существенно важным, я запускал startx руками. После того, как ресурсов стало хватать на работу в графике всегда (а это удобно, так как в любой момент может потребоваться поработать с чем-то от фотографии до pdf, что адекватно на текстовом экране не отобразишь), я и стал это делать.

Правда, надо еще учесть, что тогда четверть века назад, screen еще не умел размещать несколько окон на экране одновременно.

То же самое и с вводом пассфразы. Раз мне всегда нужен ключ (у меня даже здесь, в деревне есть минимум три устройства, куда я могу сходить по ssh) вопрос грузить или не грузить ключ в агента при входе в систему не является вопросом, по которому решение нужно принимать каждый раз. Поэтому ключ грузится при логине. А пассфраза к ключу по совместительству используется для аутентификации меня в локальной сессии.

Что характерно, хотя я сдвигаю заметную часть решений на этап настройки, у меня почему-то этот этап оказывается куда более дешевым чем у тебя. Видимо, потому что я в данном случае куда более в мейнстриме и в дистрибутиве по умолчанию 90% вешей сделаны так, как мне удобно.

[phd_ru]

> работу в графике всегда

Я, видимо, в графике не работаю. Браузер в консоли запускаю. Хочется написать «СЯУ что я не не работаю в графике». Да вот беда, я этого не У.

> То же самое и с вводом пассфразы. Раз мне всегда нужен ключ (у меня даже здесь, в деревне есть минимум три устройства, куда я могу сходить по ssh) вопрос грузить или не грузить ключ в агента при входе в систему не является вопросом, по которому решение нужно принимать каждый раз. Поэтому ключ грузится при логине.

Я вообще ключ не гружу. Много лет назад я один раз загрузил ключ в gpg-agent, он этот ключ запомнил в зашифрованном виде, и с тех пор помнит (в файле). При переезде на новый ноутбук я скопировал домашнюю директорию, так что агент продолжает мой ключ помнить. Пароль спрашивает при первом запуске ssh после перезагрузки, а потом раз в сутки (настраивается).

> куда более дешевым чем у тебя

Поскольку я не пользуюсь никаким ненужным софтом типа DM, то у меня вообще стоимость этой настройки нулевая. Дешевле быть не может.

[vitus_wagner]

Ты старательно пытаешься меня не понимать.

1.Я считаю что делать какое-то действие руками имеет смысл только, если есть заметная вероятность, что делать его НЕ НУЖНО. Поэтмоу запускать startx руками если ты работаешь в графике всегда - не стоит.

2. Понятия "загрузить ключ" имеют разный смысл в gpg-agent и ssh-agent. В ssh-agent "загрузить ключ" это значить "расшифровать его, чтобы он стал готовым к немедленнмоу использованию".

А в зашифрованном виде он должен быть не "в агенте", а "в понятном месте в файловой системе". Чему идеология gpg c его связками ключей и командами экспорта-импорта несколько противоречит.

Потому что "в понятном месте в файловой системе" означает "я могу его оттуда забрать командой cp", а не искать есть ли у меня специальная программа, умеющая работать с этим хранилищем, и как объяснить ей что в данный момент нужно работать не с текущей домашней директорией, а с подключенным к машине вторым диском или вообще бэкапным носителем.

Я вот тут недавно ключи от jami с бэкапа восставливал, и немножко по этому поводу на любителей хранить ключи юзер не знает где матерился по этому поводу.

Плюс еще на работе у меня есть такая проблема, что домашняя директория у меня монтируется в том числе и на сборочные контейнеры с Astra Smolensk, где другой GPG с другими алгоритмами, и надо именно этими алгоритмами собираемые бинарники монтировать.

Кстати, если ты загрузил ключ много лет назад, значит, весьма вероятно, по нынешним временам он уже нестойкий и менять пора.

3. А о дешевзне процесса насторойки я сужу по твом собственным постам, где ты с гордостью пишешь "ну вот накоенц я готов перебраться на новый ноутбук" и указываешь сколько времени ты его настраивал.

[phd_ru]

> Ты старательно пытаешься меня не понимать.

«Нет, ты!»

> 1.Я считаю что делать какое-то действие руками имеет смысл только, если есть заметная вероятность, что делать его НЕ НУЖНО. Поэтмоу запускать startx руками если ты работаешь в графике всегда - не стоит.

Я не вполне согласен с этим принципом — если что-то делается просто, редко и вероятность ошибиться мала, то, может, и нет нужды автоматизировать. В данном конкретном случае я не согласен совсем. Набрать раз в месяц в консоли алиас X настолько просто, что вообще не требует автоматизации. Тем более, когда альтернативой является ненужный DM.

Ну, запись алиаса в .bashrc это такая автоматизация; и там больше, чем просто startx.

> 2. Понятия "загрузить ключ" имеют разный смысл в gpg-agent и ssh-agent. В ssh-agent "загрузить ключ" это значить "расшифровать его, чтобы он стал готовым к немедленнмоу использованию".

А в зашифрованном виде он должен быть не "в агенте", а "в понятном месте в файловой системе". Чему идеология gpg c его связками ключей и командами экспорта-импорта несколько противоречит.

Куда-то тебя понесло совсем уже налево. Конечно же, gpg-agent не хранит мастер-копию. Ключи, сгенерированные ssh-keygen, кладутся в зашифрованном виде в ~/.ssh/ и оттуда копируются на шифрованную файловую систему EncFS. Резервная копия этой ФС делается на шифрованную файловую систему cryptmount. Резервные копии образов обоих ФС делаются на USB'шные диски и раскидываются на сервера в разных частях света. После загрузки в gpg-agent ключ оттуда никогда не экспортируется.

> Кстати, если ты загрузил ключ много лет назад, значит, весьма вероятно, по нынешним временам он уже нестойкий и менять пора.

RSA 2048 + SHA256. Наверное, пора менять.

> 3. А о дешевзне процесса насторойки я сужу по твом собственным постам, где ты с гордостью пишешь "ну вот накоенц я готов перебраться на новый ноутбук" и указываешь сколько времени ты его настраивал.

Я говорю исключительно о настройках DM, а не всей системы. Систему же всё равно приходится настраивать при переезде.

[vitus_wagner]

Набрать раз в месяц в консоли алиас X настолько просто, что вообще не требует автоматизации.

Вот это существенная разница в наших плодходах. Я в среднем логинюсь 4 раза в день.
В смысле, утром на домашний компьютер - ЖЖ перед работой почитать, потом на рабочий, а перед обеденным перерывом и перед уходом на работу аккуратно делаю logout. (и это собственно зачем мне screen на локальных терминалах), вечером - опять на домашний.

Оставлять залоченную сессию я иногда стал только после того, как перешел с xdm на lightdm. Потому что этот dm позволяет другому человеку открыть свою сессию параллельно моей залоченной. А до того считал оставление залоченной сессии на домашнем компьютере невежливым по отношению к своим домочадцам.

Опять же, если продолжительность сессии не превышает рабочего дня, нет проблем с избыточным распуханием браузера, на которые жалуются многие из тех, у кого сессии живут неделями.

Настройка меня почти устраивает дефолтная. Единственное что на некоторых компьютерах я включаю выбор пользователя из меню, а на некоторых оставляю дефолтный ввод пароля с клавиатуры. Ну и фоновую картинку под login widget какую-нибудь пихаю. На работе у меня там слоны пасутся, дома - осенние березки из деревни растут.

И настройка всей системы при переезде сводится в основном к раскатыванию ${HOME} из бэкапа. Ну кроме тех случаев когда надо не столько настроить систему под себя, сколько освоить и применить с пользой ранее не сущесовавшие в системе возможности. В общем, в рабочий день я обычно укладываюсь

[phd_ru]

> Я в среднем логинюсь 4 раза в день.

Ну вот, выяснили: разный образ жизни — разные способы работы. :-)))