
It isn't lazyness. When I was "sold" on SSH keys the concept was that passwords are hard to rotate and not safe because people write them down on napkins, share them, etc. So since I have "bought into" this philosophy it seems contradictory to me to have sudo use a password.<br>

<br><div class="gmail_quote">On Sat, Jan 7, 2012 at 7:49 PM, Jason Hellenthal <span dir="ltr"><<a href="mailto:jhell@dataix.net">jhell@dataix.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

<br>

<br>

On Sat, Jan 07, 2012 at 04:06:52PM -0500, Edward Capriolo wrote:<br>

> I am a little bit curious about what people view as the distinction between:<br>

><br>

> Force public key SSH and sudo NOPASSWD and<br>

> Sudo using SSHAgent.<br>

><br>

> I am doing the former in my deployment. I do not understand what advantage<br>

> having sudo do an SSH auth would bring.<br>

<br>

I always find this to be amusing when people become lazy and do not want to type a password and would rather subvert the process by adding even more functionality that can be easily misunderstood and lead to breeches.<br>


<br>

Sudo already has the ability to adjust timeouts and such...<br>

Defaults        timestamp_timeout = "180"<br>

Defaults        !tty_tickets<br>

Defaults        requiretty<br>

Defaults        mail_badpass<br>

Defaults        mail_no_host<br>

Defaults        mail_no_perms<br>

Defaults        mail_no_user<br>

<br>

With the right mix you may be able to get away with NOPASSWD using a combination with a users host.<br>

<br>

I don't see an advantage here besides "I don't have to type my password".<br>

<br>

Maybe pam_ssh.so PAM module could assist with this also...<br>

<br>

auth           sufficient      pam_ssh.so              no_warn try_first_pass<br>

session        optional        pam_ssh.so<br>

<br>

><br>

> On Sat, Jan 7, 2012 at 2:47 PM, Jan Schaumann <<a href="mailto:jschauma@netmeister.org">jschauma@netmeister.org</a>>wrote:<br>

><br>

> > Bob Ippolito <<a href="mailto:bob@redivi.com">bob@redivi.com</a>> wrote:<br>

> > > I'm trying to catch up on the past few years of what's been happening<br>

> > with<br>

> > > ops (ec2, puppet, chef, etc.) and I was wondering if public-key sudo has<br>

> > > caught on at all?<br>

> ><br>

> > Yahoo! recently started using a pam module to allow ssh-key<br>

> > authentication for sudo(8):<br>

> ><br>

> > <a href="http://pamsshagentauth.sourceforge.net/" target="_blank">http://pamsshagentauth.sourceforge.net/</a><br>

> ><br>

> > I don't know if that is related to the project presented in 2008,<br>

> > though.<br>

> ><br>

<span class="HOEnZb"><font color="#888888"><br>

--<br>

;s =;<br>

</font></span></blockquote></div><br>