Árpád nagyon sok shell scriptet írt ami cross-platform és sajnos tisztában van vele hogy nem minden játék és mese ezen a területen. Eddig mindent meg lehetett valahogy oldani (ezt is egy named pipe-al ha másképp nem lehet, de szeretném elkerülni).
Az ssh-keygen nem csak kulcsot generál, csinál az minden egyebet is amiben szerepel SSH és kulcs, ami nem biztos hogy jó ötlet a fejlesztőktől de ez van. A probléma amit meg akarok oldani hogy az SSH CA egy környezeti változóban van és szeretném aláírni, most nincs előttem a kód, de valami ilyesmi van benne.
ssh-keygen -I john@doe.com -n user1,user2 -V +2d -s <(echo "$CA_KEY") mykey.pub
A felhasználók 1-2 naponta futtatják a scriptet ami új kulcsot generál nekik helyben és alá is írja. Hogy a CA_KEY ténylegesen honnan jön az itt most nem érdekes.
A cél hogy a CA kulcsa sose kerüljön ki diszkre, így ha elveszik az eszköz akkor csak egy rövid ideig érvényes SSH kulcs van rajta, nem kell végig rohanni az összes gépen és törölni az elveszett kulcsot illetve hozzáadni a user új kulcsát.
Igen, egy rosszindulatú felhasználó meg tudja szerezni a CA kulcsát, de annak a kezelése most még nem volt szempont, csak az eszköz elvesztése.
A kérdésem célja az volt hogy hátha van egy macOS beállítás ami módosít ezen a működésen, de ha nincs akkor marad a workaround. Ez a script amúgy is csak átmeneti megoldás. Elvileg, majd pár éve múlva meglátjuk...