ssh-agentって？

ssh-agentは名前から分かるようにエージェント、代理人として動きます。流れとしては、

1. 起動して
2. 鍵を登録すると
3. プライベート鍵をメモリに格納して
4. sshクライアントからの問い合わせに答える

といったものです。
これにより、プライベート鍵に掛けたパスワードの入力が省かれたりなど、非常に便利にsshを利用できるようになるのです。そしてこれを用いると、ssh接続の先でのssh - 多段sshでの鍵認証も便利に、安全になります。

ssh-agent forwardingの仕組み。

ここで、ssh-agent forwardingを利用すると考えてみます。
計算機Aから計算機Bへとエージェントを利用して計算機Bに接続している状態を想定します。
計算機Bから計算機Cへ接続しようとすると、認証の要求が計算機B上の代理エージェントに送られます。この計算機B上の代理エージェントは、鍵の認証要求を計算機Aのエージェントにリレーして、その結果を受け取ります。

このように動作することより、計算機B上へ計算機Cへのプライベート鍵を置くことなく、計算機Cへと鍵認証することが可能となります。

実際に使ってみる。

では、実際に使ってみましょう。

• 起動させる

まず、計算機Aでssh-agentを立ち上げます。以下のコマンドを実行して下さい。

$ eval `ssh-agent`
Agent pid 25366

これにより、ssh-agentが起動します。なお、上記コマンドではシングルクォーテーションでなくバッククォートという点に注意して下さい。バッククォートはPキーの右となり、@キーをShiftと同時押しすることにより入力出来ます(日本語配列の場合)。
さて、ここでevalで実行していることに気になるでしょう。evalで実行することにより、ssh-agentが出力する内容をコマンドとして実行している訳ですが、これはssh-agentを使う際に必要な環境設定を設定するためです。実際に、evalをせず実行すると以下のような結果となります。

$ ssh-agent 
setenv SSH_AUTH_SOCK /tmp/ssh-YkIlsV2Dby/agent.25365;
setenv SSH_AGENT_PID 25366;
echo Agent pid 25366;

• 鍵を登録する

さて、代理で認証をやってくれるということならば、プライベート鍵とそのパスワードをエージェントに預けなければならないですね。その方法は以下の通りとなります。

$ ssh-add 
Enter passphrase for /Users/m-bird/.ssh/id_rsa: 
Identity added: /Users/m-bird/.ssh/id_rsa (/Users/m-bird/.ssh/id_rsa)

ssh-agentでは、複数の鍵を登録することも可能です。デフォルトの鍵(.ssh以下に置かれた鍵)以外を登録する場合は、引数に鍵までのパスを明示してやります。

$ ssh-add .key/server2.key 
Enter passphrase for .key/server2.key: 
Identity added: .key/server2.key (.key/server2.key)

確認してみましょう。-lオプションにて、鍵のフィンガープリントと共に、現在読み込まれている鍵が表示されます。

$ ssh-add -l
2048 01:01:01:01:01:01:01:01:01:01:01:01:01:01:01:01 /Users/m-bird/.ssh/id_rsa (RSA)
2048 02:02:02:02:02:02:02:02:02:02:02:02:02:02:02:02 .key/server2.key (RSA)

鍵の登録を外すには、-dオプションです。引数無しだと、デフォルトの鍵が登録削除されます。

$ ssh-add -d
Identity removed: /Users/m-bird/.ssh/id_rsa (/Users/m-bird/.ssh/id_rsa.pub)

鍵の登録済めば、いつも通りsshコマンドを実行すると、パスフレーズの要求など無しに接続できるようになります。

• forwardingする。

さて、ここで本来の目的の「鍵を置かずの多段踏み」です。
これをやるには、ssh-agentを起動しているクライアントマシン、上の例で言う計算機Aのsshクライアントで以下のオプションを有効にする必要があります。~.ssh/configを作成して書き込んで下さい。

ForwardAgent yes

また、~.ssh/configを作成しなくとも、以下のようにsshで接続する際に引数で渡すことも可能です。計算機Aから計算機Bへと接続する際に、以下のようにコマンド引数を渡してやって下さい。

[keisankiA]$ ssh -o "ForwardAgent yes" m-bird@keisankiB

これで、計算機Bにプライベート鍵を置かずとも計算機Cへとアクセス出来るようになります。

終了方法

さて。ここで勘の良い人は気づいたかもしれません。「ssh-agentを終了するとき、環境変数も削除しなければいけないんか、面倒。」その通りです。
しかし、ssh-agentには便利に終了する方法があります。それが、-kオプションです。例によって、evalで実行します。

$ eval `ssh-agent`
Agent pid 25366
$ eval `ssh-agent -k`
Agent pid 25366 killed

また、一つssh-agentを使う際には気をつけたいことがあります。それは、ログアウト時にssh-agentが終了しないことです。これは.logoutファイル、又は.profileファイルにて対処しましょう。以下の内容を書き込んで下さい。

• tcsh等のCシェル系(~/.logout)

if ( "$SSH_AGENT_PID" != "" ) then
	eval `ssh-agent -k`
endif
if ( "$SSH2_AGENT_PID" != "" ) then
	kill $SSH2_AGENT_PID
endif

• bash等のbourneシェル系(~/.profile)

trap '
	test -n "$SSH_AGENT_PID" && eval `ssh-agent -k`;
	test -n "$SSH2_AGENT_PID" && kill $SSH2_AGENT_PID
' 0

これで、ssh-agentが大量に走っている！という問題からは解放されました！
zshは、、、多分どっちでも行けるんじゃないんですかね？分かりません！＞＜

もう一つの実行方法、サブシェルを使用する方法

以上evalを使った方法をぐだぐだと書き連ねてきましたが、もっと単純な方法があります。それは、サブシェルを実行する方法です。

$ ssh-agent $SHELL

と打つだけの簡単なお仕事で、こうすることにより環境変数などをセットしたサブシェルが立ち上がります*1。こうする事により、ログアウト時などはサブシェルのプロセスも殺され、ssh-agentのプロセスも死にますので、上の様な面倒な作業は必要がなくなります。
ここで気をつけたいのは、「この方法を採るならば、真っ先に"ssh-agent $SHELL"というコマンドを実行しろ」ということです。そうでないと、サブシェルを立ち上げる前にバックグラウンドに移したプロセスのセッションに触れなくなったりしてしまいます。

$ vim tani			# vimèµ·å‹•
^Z				# vimを一時停止
$ ssh-agent $SHELL		# サブシェルを実行！
$ jobs				# プロセス確認。vimが見えない！
$ exit				# サブシェル終了
$ jobs				# もっかいプロセス確認
[1]  + Suspended vim tani

という訳で、.loginだとか.profileに書いておくべきでしょう。

• 参考リンク、資料
  • openssh manページ
  • 実用SSH - O'REILLY

ssh-agent forwardingの危険性

しかし、ここで気になってくるのが踏み台サーバの信頼性です。
上の例で、計算機Bについてroot権限があれば、計算機Aのssh-agentを利用できてしまいます。それは、計算機Aに置いた秘密鍵をパスフレーズ無しで利用されてしまうのと同義です。
ssh-agentに手を加えてログ出力させ、自分のssh-agentが勝手に使われていないか監視する方法もあるようですが、しかしroot権限を疑い出したらキリがないので、

• 信用ならない計算機を踏まない
• 意味もなく踏み台にするマシンを増やさない
• 秘密鍵を使いまわさない

といった対策も必要でしょう。
この件については以下のページが非常に詳しいので、詳細を知りたい人は併せてどうぞ。

• 参考リンク
  • ssh-agent ＆ ForwardAgent を、より安全にしてみる - 仙石浩明の日記