11.4. Wie geht SSH ohne Passwort?

11.4.1

Wenn eine Anmeldung ohne Passwort unbedingt sein muß, so geht das am sichersten, wenn die Public / Private Key Authentifikationsmöglichkeit verwendet wird (siehe dazu Wie erstellt man einen SSH-Key? Wie kommt der Key auf den Zielrechner?).

Eine Möglichkeit besteht darin, eine leere Passphrase zu verwenden. Dadurch kann die Eingabe der Passphrase entfallen, und die Anmeldung erfolgt ohne Passwort. Diese Methode hat den großen Nachteil, daß der private Schlüssel komplett ungesichert ist.

Eine andere (bessere) Möglichkeit ist die Verwendung des ssh-agent. Dieser cacht die Passphrase, so daß nicht jedesmal die Eingabe notwendig ist. Standardmäßig wird die Passphrase für die Dauer einer lokalen Anmeldung gespeichert. Dieses Caching wird auch keychain genannt.

Dafür ist es nötig, dass der ssh-agent läuft. Bei SuSE Linux reicht es, in der ~/.xinitrc die Variable usessh am Anfang der Datei auf yes zu setzen und sich neu einzuloggen. Alternativ kann man auch eval "`ssh-agent`" in der ~/.profile eintragen.

Nach jedem Login ruft man dann einmal ssh-add auf und gibt die Passphrase des Keys ein, um diesen zu entsperren. Dadurch ist die passwortlose Verwendung des Keys für die Dauer der lokalen Anmeldung möglich.

Es existieren Skripte (z.B. keychain, seit SuSE 9.0 auch auf DVD dabei), welche die Dauer des Cachens auf die Uptime des Rechners erweitern. Diese Vorgehensweise ist besser als ein Schlüssel mit leerer Passphrase, aber trotzdem nicht empfehlenswert.