Jak bezpieczne jest korzystanie z SSH-agent?

Tunel po ssh @ **Michal_Podgorski** | **08.04.2014**

1
9
240

Administrator pracujący zdalnie loguje się przez SSH na serwer X znajdujący się w sieci lokalnej. Ponieważ zamierza logować się na kolejne serwery w sieci lokalnej z wykorzystaniem certyfikatów, wykonuje połączenie na serwer X z opcją -A (ssh-agent). Czy użytkownik root na serwerze A jest w stanie przechwycić klucz prywatny administratora? Gdzie odbywa się proces szyfrowania kluczem prywatnym administratora - na serwerze X czy na komputerze administratora?

Zapytał
@ Marcin_Mordas | 19.02.2015
- laureat
- 6
- 1
- 5

2

SSH-agent nie jest bezpieczny, o ile nie ufasz maszynie pośredniczącej.

Root na maszynie pośredniczącej - co prawda nie może przechwycić hasła, ale może skorzystać z uprawnień, jakie zostały przekazane agentem.

Z zasad higieny:

w sytuacji, gdy konieczne jest używanie forwardowania uwierzytelnienia - można używać indywidualnego klucza dla każdej z platform - tak, by root na serwerze pośredniczącym mógł skorzystać tylko i wyłącznie z klucza dedykowanego dla platformy
gdy nie ma takiej opcji albo powoduje to i tak nieakceptowalne ryzyko - można użyć pierwszego hopa tylko do sforwardowania portu (tudzież użyć go jako ProxyCommand).

Tak samo niebezpieczne jest użycie forwardowania X-ów.

Skomentuj

Odpowiedział
@ Andrzej_Dopierała | 04.04.2015
- lider
- laureat
- ekspert
- 83
- 65
- 169

Pytanie