Servus,
der obige Titel mag irritieren, denn es ist genaugenommen nicht ssh, welches während des Eintippens des Kennworts eines geschützten Zertifikats dieses offen anzeigt, sondern openvpn. Aber nur unter ssh als Kommando an den fernen Host weitergereicht. Zur Sache (bzw. zur Befehlszeile):
sc@sc:~$ ssh -i .ssh/sc\_rsa [email protected] /usr/sbin/openvpn /home/sc/openvpn/fa.ovpn
Es wird also per ssh eine Root-Shell auf 127.0.0.1 aufgebaut, zur Authentifizierung dient ein Zertifikat ~/.ssh/sc_rsa. Soweit, so gut. Ist dieses Zertifikat kennwortgeschützt, erfolgt die Kennworteingabe - wie erwartet - ohne Echo. Als Kommando wird openvpn aufgerufen und diesem eine Konfigurationsdatei als Parameter übergeben.
Für die openvpn-Authentifizierung wird dabei ebenfalls ein (eigenes) Zertifikat verwendet. openvpn startet ganz normal und verlangt die Eingabe der Passphrase für dieses Zertifikat. Und bei deren Eingabe erfolgt ein Echo, das Kennwort wird während des Tippens offen angezeigt. Die Verbindung wird dann im weiteren normal aufgebaut, das Kennwort also tatsächlich durch openvpn akzeptiert.
Nun mag man die Sinnhaftigkeit eines derartigen Aufrufs durchaus in Frage stellen, ich bilde mir aber ein, dass es möglich sein sollte, auch die Eingabe der Passphrase für das in der ssh-Sitzung angeforderte Zertifikat in einem sicheren Kontext durchführen zu können. Nur wie?
Das ganze unter Debian Stable mit (naturnotwendig, siehe Datum) allen aktuellen Sicherheitspatches.
Gruss
Schorsch