From bernhard at intevation.de  Mon Jun 17 10:45:56 2019
From: bernhard at intevation.de (Bernhard Reiter)
Date: Mon, 17 Jun 2019 10:45:56 +0200
Subject: Frage bzgl. gpg-agentMoin
In-Reply-To: <20190603130736.tl4pwhihvgpgxdx4@russet.rince.de>
References: <mailman.0.1558382881.8536.gnupg-de@gnupg.org>
 <87o93iydmw.fsf@wheatstone.g10code.de>
 <20190603130736.tl4pwhihvgpgxdx4@russet.rince.de>
Message-ID: <201906171046.00540.bernhard@intevation.de>

Hi Hanno,

Am Montag 03 Juni 2019 15:07:36 schrieb Hanno 'Rince' Wagner:
> 4 - 14:56:20 gpg-agent[3568]: DBG: chan_10 <- getinfo restricted
> 4 - 14:56:20 gpg-agent[3568]: DBG: chan_10 -> ERR 67108865 Allgemeiner
> Fehler <GPG Agent> 4 - 14:56:20 gpg-agent[3568]: DBG: chan_10 <- [eof]

bei so einer speziellen Frage hilft vielleicht ein Blick in den Quelltext.

> Was muss ich denn machen damit der gpg-agent in den restricted mode
> geht? Dazu habe ich bisher kaum Doku gefunden...

Wenn Du damit hier auf der Liste nicht weiter kommst, lohnt es sich oft 
auf den englisch-sprachigen Listen zu fragen (also users oder -devel),
weil dort noch mehr Leute mitlesen, welche die Frage vielleicht beantworten 
können.

Viele Grüße,
Bernhard


-- 
www.intevation.de/~bernhard   +49 541 33 508 3-3
Intevation GmbH, Osnabrück, DE; Amtsgericht Osnabrück, HRB 18998
Geschäftsführer Frank Koormann, Bernhard Reiter, Dr. Jan-Oliver Wagner
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 488 bytes
Beschreibung: This is a digitally signed message part.
URL         : <https://lists.gnupg.org/pipermail/gnupg-de/attachments/20190617/14c66d30/attachment.sig>

From wk at gnupg.org  Mon Jun 17 12:39:30 2019
From: wk at gnupg.org (Werner Koch)
Date: Mon, 17 Jun 2019 12:39:30 +0200
Subject: Frage bzgl. gpg-agent
In-Reply-To: <20190603130736.tl4pwhihvgpgxdx4@russet.rince.de> (Hanno Wagner's
 message of "Mon, 3 Jun 2019 15:07:36 +0200")
References: <mailman.0.1558382881.8536.gnupg-de@gnupg.org>
 <20190520201505.fdeac4ugsrn6jtaa@russet.rince.de>
 <87woiklydp.fsf@wheatstone.g10code.de>
 <20190527073459.c6tl33jlnernlbup@russet.rince.de>
 <874l5glyf5.fsf@wheatstone.g10code.de>
 <20190528123504.dzi6g4i5mxoo5pfs@russet.rince.de>
 <87o93iydmw.fsf@wheatstone.g10code.de>
 <20190603130736.tl4pwhihvgpgxdx4@russet.rince.de>
Message-ID: <8736k8o5r1.fsf@wheatstone.g10code.de>

On Mon,  3 Jun 2019 15:07, wagner at rince.de said:

> Was muss ich denn machen damit der gpg-agent in den restricted mode
> geht? Dazu habe ich bisher kaum Doku gefunden...

Falsche Frage.  Alle Anfragen, die über den extra-socket oder den
browser-socket reinkommen sind im restricted mode.

Also be mir momentan:

  $ ls -1 $(gpgconf --list-dirs socketdir)/S.*
  /run/user/1000/gnupg/S.dirmngr
  /run/user/1000/gnupg/S.gpg-agent
  /run/user/1000/gnupg/S.gpg-agent.browser
  /run/user/1000/gnupg/S.gpg-agent.ssh
  /run/user/1000/gnupg/S.log
  /run/user/1000/gnupg/S.scdaemon

Den extra socket habe ich zwar nicht ("extra-socket /dev/null" in
gpg-agent.conf) aber den Browser-Socket, der praktisch identisch zum
extra-socket ist.  S.gpg-agent.* sind die offenen Sockets des gpg-agent.
Alle Verbindungen die an S.gpg-agent.browser gehen sind damit im
Restricted Mode.

Auf dem Server (also dort wo gpg) läuft sorgst Du dafür, das kein
gpg-agent gestartet wird (z.b. "no-autostart" in gpg.conf) und sshd
dafür den Socket "/run/user/<uid>/gnupg/S.gpg-agent" zur Verfügung
stellt und an den Socket "/run/user/1000/gnupg/S.gpg-agent.extra" auf
Deinem Client weiterleitet.  Auf dem Client läuft der gpg-agent
natürlich.

Um wirklich sicherzustellen, das gpg-agent nicht gestartet wird, könnte
man ihn chmod -x aber das hat das Problem, das andere ANwendungen nicht
funktionieren.  Ansonsten kann es am besten sein, ein dediziertes
GNUPGHOME auf dem Server zu haben, so dass andere Prozesse des Users den
gpg-agent nicht versehntlich starten.  Ich habe es nicht gestest aber
irgendwas wie

  gpgconf --homedir ~/.remote-gnupg --create-socketdir -v
  gpgconf --homedir ~/.remote-gnupg --remove-socketdir -v

und dann das erzeugte Directory (in /run/user/*) manuell wieder erzeugen
und alle Rechte entziehen.  Damit kann es nicht versehentlich wieder
benutzt werden.

Wenn Du  eine Idee hast, wie wir das auf dem Server einfacher machen
können, dann nur zu.


Shalom-Salam,

   Werner

-- 
Die Gedanken sind frei.  Ausnahmen regelt ein Bundesgesetz.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 227 bytes
Beschreibung: nicht verfügbar
URL         : <https://lists.gnupg.org/pipermail/gnupg-de/attachments/20190617/18b35f80/attachment.sig>