Frage bzgl. gpg-agent

Werner Koch wk at gnupg.org
Mo Jun 17 12:39:30 CEST 2019 

On Mon,  3 Jun 2019 15:07, wagner at rince.de said:

> Was muss ich denn machen damit der gpg-agent in den restricted mode
> geht? Dazu habe ich bisher kaum Doku gefunden...

Falsche Frage.  Alle Anfragen, die über den extra-socket oder den
browser-socket reinkommen sind im restricted mode.

Also be mir momentan:

  $ ls -1 $(gpgconf --list-dirs socketdir)/S.*
  /run/user/1000/gnupg/S.dirmngr
  /run/user/1000/gnupg/S.gpg-agent
  /run/user/1000/gnupg/S.gpg-agent.browser
  /run/user/1000/gnupg/S.gpg-agent.ssh
  /run/user/1000/gnupg/S.log
  /run/user/1000/gnupg/S.scdaemon

Den extra socket habe ich zwar nicht ("extra-socket /dev/null" in
gpg-agent.conf) aber den Browser-Socket, der praktisch identisch zum
extra-socket ist.  S.gpg-agent.* sind die offenen Sockets des gpg-agent.
Alle Verbindungen die an S.gpg-agent.browser gehen sind damit im
Restricted Mode.

Auf dem Server (also dort wo gpg) läuft sorgst Du dafür, das kein
gpg-agent gestartet wird (z.b. "no-autostart" in gpg.conf) und sshd
dafür den Socket "/run/user/<uid>/gnupg/S.gpg-agent" zur Verfügung
stellt und an den Socket "/run/user/1000/gnupg/S.gpg-agent.extra" auf
Deinem Client weiterleitet.  Auf dem Client läuft der gpg-agent
natürlich.

Um wirklich sicherzustellen, das gpg-agent nicht gestartet wird, könnte
man ihn chmod -x aber das hat das Problem, das andere ANwendungen nicht
funktionieren.  Ansonsten kann es am besten sein, ein dediziertes
GNUPGHOME auf dem Server zu haben, so dass andere Prozesse des Users den
gpg-agent nicht versehntlich starten.  Ich habe es nicht gestest aber
irgendwas wie

  gpgconf --homedir ~/.remote-gnupg --create-socketdir -v
  gpgconf --homedir ~/.remote-gnupg --remove-socketdir -v

und dann das erzeugte Directory (in /run/user/*) manuell wieder erzeugen
und alle Rechte entziehen.  Damit kann es nicht versehentlich wieder
benutzt werden.

Wenn Du  eine Idee hast, wie wir das auf dem Server einfacher machen
können, dann nur zu.


Shalom-Salam,

   Werner

-- 
Die Gedanken sind frei.  Ausnahmen regelt ein Bundesgesetz.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 227 bytes
Beschreibung: nicht verfügbar
URL         : <https://lists.gnupg.org/pipermail/gnupg-de/attachments/20190617/18b35f80/attachment.sig>

Mehr Informationen über die Mailingliste Gnupg-de