From bernhard at intevation.de Mon Jun 17 10:45:56 2019 From: bernhard at intevation.de (Bernhard Reiter) Date: Mon, 17 Jun 2019 10:45:56 +0200 Subject: Frage bzgl. gpg-agentMoin In-Reply-To: <20190603130736.tl4pwhihvgpgxdx4@russet.rince.de> References: <87o93iydmw.fsf@wheatstone.g10code.de> <20190603130736.tl4pwhihvgpgxdx4@russet.rince.de> Message-ID: <201906171046.00540.bernhard@intevation.de> Hi Hanno, Am Montag 03 Juni 2019 15:07:36 schrieb Hanno 'Rince' Wagner: > 4 - 14:56:20 gpg-agent[3568]: DBG: chan_10 <- getinfo restricted > 4 - 14:56:20 gpg-agent[3568]: DBG: chan_10 -> ERR 67108865 Allgemeiner > Fehler 4 - 14:56:20 gpg-agent[3568]: DBG: chan_10 <- [eof] bei so einer speziellen Frage hilft vielleicht ein Blick in den Quelltext. > Was muss ich denn machen damit der gpg-agent in den restricted mode > geht? Dazu habe ich bisher kaum Doku gefunden... Wenn Du damit hier auf der Liste nicht weiter kommst, lohnt es sich oft auf den englisch-sprachigen Listen zu fragen (also users oder -devel), weil dort noch mehr Leute mitlesen, welche die Frage vielleicht beantworten können. Viele Grüße, Bernhard -- www.intevation.de/~bernhard   +49 541 33 508 3-3 Intevation GmbH, Osnabrück, DE; Amtsgericht Osnabrück, HRB 18998 Geschäftsführer Frank Koormann, Bernhard Reiter, Dr. Jan-Oliver Wagner -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 488 bytes Beschreibung: This is a digitally signed message part. URL : From wk at gnupg.org Mon Jun 17 12:39:30 2019 From: wk at gnupg.org (Werner Koch) Date: Mon, 17 Jun 2019 12:39:30 +0200 Subject: Frage bzgl. gpg-agent In-Reply-To: <20190603130736.tl4pwhihvgpgxdx4@russet.rince.de> (Hanno Wagner's message of "Mon, 3 Jun 2019 15:07:36 +0200") References: <20190520201505.fdeac4ugsrn6jtaa@russet.rince.de> <87woiklydp.fsf@wheatstone.g10code.de> <20190527073459.c6tl33jlnernlbup@russet.rince.de> <874l5glyf5.fsf@wheatstone.g10code.de> <20190528123504.dzi6g4i5mxoo5pfs@russet.rince.de> <87o93iydmw.fsf@wheatstone.g10code.de> <20190603130736.tl4pwhihvgpgxdx4@russet.rince.de> Message-ID: <8736k8o5r1.fsf@wheatstone.g10code.de> On Mon, 3 Jun 2019 15:07, wagner at rince.de said: > Was muss ich denn machen damit der gpg-agent in den restricted mode > geht? Dazu habe ich bisher kaum Doku gefunden... Falsche Frage. Alle Anfragen, die über den extra-socket oder den browser-socket reinkommen sind im restricted mode. Also be mir momentan: $ ls -1 $(gpgconf --list-dirs socketdir)/S.* /run/user/1000/gnupg/S.dirmngr /run/user/1000/gnupg/S.gpg-agent /run/user/1000/gnupg/S.gpg-agent.browser /run/user/1000/gnupg/S.gpg-agent.ssh /run/user/1000/gnupg/S.log /run/user/1000/gnupg/S.scdaemon Den extra socket habe ich zwar nicht ("extra-socket /dev/null" in gpg-agent.conf) aber den Browser-Socket, der praktisch identisch zum extra-socket ist. S.gpg-agent.* sind die offenen Sockets des gpg-agent. Alle Verbindungen die an S.gpg-agent.browser gehen sind damit im Restricted Mode. Auf dem Server (also dort wo gpg) läuft sorgst Du dafür, das kein gpg-agent gestartet wird (z.b. "no-autostart" in gpg.conf) und sshd dafür den Socket "/run/user//gnupg/S.gpg-agent" zur Verfügung stellt und an den Socket "/run/user/1000/gnupg/S.gpg-agent.extra" auf Deinem Client weiterleitet. Auf dem Client läuft der gpg-agent natürlich. Um wirklich sicherzustellen, das gpg-agent nicht gestartet wird, könnte man ihn chmod -x aber das hat das Problem, das andere ANwendungen nicht funktionieren. Ansonsten kann es am besten sein, ein dediziertes GNUPGHOME auf dem Server zu haben, so dass andere Prozesse des Users den gpg-agent nicht versehntlich starten. Ich habe es nicht gestest aber irgendwas wie gpgconf --homedir ~/.remote-gnupg --create-socketdir -v gpgconf --homedir ~/.remote-gnupg --remove-socketdir -v und dann das erzeugte Directory (in /run/user/*) manuell wieder erzeugen und alle Rechte entziehen. Damit kann es nicht versehentlich wieder benutzt werden. Wenn Du eine Idee hast, wie wir das auf dem Server einfacher machen können, dann nur zu. Shalom-Salam, Werner -- Die Gedanken sind frei. Ausnahmen regelt ein Bundesgesetz. -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 227 bytes Beschreibung: nicht verfügbar URL :