It isn't lazyness. When I was "sold" on SSH keys the concept was that passwords are hard to rotate and not safe because people write them down on napkins, share them, etc. So since I have "bought into" this philosophy it seems contradictory to me to have sudo use a password.<br>
<br><div class="gmail_quote">On Sat, Jan 7, 2012 at 7:49 PM, Jason Hellenthal <span dir="ltr"><<a href="mailto:jhell@dataix.net">jhell@dataix.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
<br>
On Sat, Jan 07, 2012 at 04:06:52PM -0500, Edward Capriolo wrote:<br>
> I am a little bit curious about what people view as the distinction between:<br>
><br>
> Force public key SSH and sudo NOPASSWD and<br>
> Sudo using SSHAgent.<br>
><br>
> I am doing the former in my deployment. I do not understand what advantage<br>
> having sudo do an SSH auth would bring.<br>
<br>
I always find this to be amusing when people become lazy and do not want to type a password and would rather subvert the process by adding even more functionality that can be easily misunderstood and lead to breeches.<br>

<br>
Sudo already has the ability to adjust timeouts and such...<br>
Defaults        timestamp_timeout = "180"<br>
Defaults        !tty_tickets<br>
Defaults        requiretty<br>
Defaults        mail_badpass<br>
Defaults        mail_no_host<br>
Defaults        mail_no_perms<br>
Defaults        mail_no_user<br>
<br>
With the right mix you may be able to get away with NOPASSWD using a combination with a users host.<br>
<br>
I don't see an advantage here besides "I don't have to type my password".<br>
<br>
Maybe pam_ssh.so PAM module could assist with this also...<br>
<br>
auth           sufficient      pam_ssh.so              no_warn try_first_pass<br>
session        optional        pam_ssh.so<br>
<br>
><br>
> On Sat, Jan 7, 2012 at 2:47 PM, Jan Schaumann <<a href="mailto:jschauma@netmeister.org">jschauma@netmeister.org</a>>wrote:<br>
><br>
> > Bob Ippolito <<a href="mailto:bob@redivi.com">bob@redivi.com</a>> wrote:<br>
> > > I'm trying to catch up on the past few years of what's been happening<br>
> > with<br>
> > > ops (ec2, puppet, chef, etc.) and I was wondering if public-key sudo has<br>
> > > caught on at all?<br>
> ><br>
> > Yahoo! recently started using a pam module to allow ssh-key<br>
> > authentication for sudo(8):<br>
> ><br>
> > <a href="http://pamsshagentauth.sourceforge.net/" target="_blank">http://pamsshagentauth.sourceforge.net/</a><br>
> ><br>
> > I don't know if that is related to the project presented in 2008,<br>
> > though.<br>
> ><br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
;s =;<br>
</font></span></blockquote></div><br>