विश्व स्तर पर SSH एजेंट को चालू करने से नुकसान क्या है

2

मेरा SSH टूल (SecureCRT) सभी SSH सत्रों के लिए Agent Forwarding को चालू करने के लिए एक कॉन्फ़िगर विकल्प प्रदान करता है। आवश्यकता पड़ने पर इसे भूलने से रोकने में मददगार लगता है, लेकिन अगर कोई कारण नहीं है तो मैं सोच रहा हूं?

ssh  ssh-agent 
जोनाथन डे
स्रोत
1
अगर आप दोनों पर पूरी तरह भरोसा करते हैं, तो कोई बात नहीं है। क्या आप दोनों सिरों पर भरोसा कर सकते हैं? क्या होगा यदि आप एक अलग सर्वर से कनेक्ट करते हैं और भूल जाते हैं कि सक्षम है? आप अपनी निजी कुंजी से समझौता कर सकते थे।
फॉशी
मुझे लगता है कि आपने सिर्फ सवाल का जवाब दिया। मैंने महसूस नहीं किया कि यह निजी कुंजी को उजागर करेगा। यदि आप अपनी टिप्पणी का उत्तर देते हैं, तो मैं इसे स्वीकार करूंगा :) मुझे लगता है कि सत्र के दौरान निजी कुंजी केवल उजागर होती है?
जोनाथन डे
1
@ घोषी: कुंजी स्वयं समझौता नहीं होगी, यह ssh- एजेंट प्रोटोकॉल द्वारा अनुमति नहीं है। हालांकि, जब तक एजेंट अग्रेषण सक्रिय है, तब तक कुंजी का उपयोग प्रमाणीकरण के लिए किया जा सकता है
ग्रेविटी

जवाबों:

3

SSH एजेंट अग्रेषण के लिए एक इलस्ट्रेटेड गाइड यह सुझाव देता है कि आपकी कुंजी कभी भी स्थानीय मशीन एजेंट को नहीं छोड़ती है।

यह भी बताता है:

इसके लिए उपयोगकर्ता की सार्वजनिक की एक बार की स्थापना की आवश्यकता होती है - निजी नहीं! - सभी लक्ष्य मशीनों पर चाबियाँ, लेकिन प्रदान की गई उत्पादकता द्वारा इस सेटअप लागत को तेजी से पुन: प्राप्त किया जाता है। एजेंट अग्रेषण के साथ सार्वजनिक कुंजी का उपयोग करने वाले शायद ही कभी वापस जाते हैं।

इस के मुख्य समर्थक और चोर (उसी पृष्ठ से)

  • प्रो: असाधारण सुविधा
  • Con: सभी लक्ष्य प्रणालियों पर सार्वजनिक (निजी नहीं) कुंजियों की स्थापना की आवश्यकता होती है, जिन्हें शुरू करने में असुविधा हो सकती है, लेकिन पहली बार के बाद कोई समस्या नहीं है।

Ssh-agent के बारे में एक Symantec पेज एक ही सुझाव देता है, आपके पास ssh- एजेंट आपकी मशीन पर स्थानीय रूप से चल रहा है और फिर निम्नलिखित आवेदन करता है:

एजेंट अग्रेषण वास्तव में कैसे काम करता है? संक्षेप में, एजेंट एक मशीन पर चल रहा है, और हर बार जब आप एजेंट अग्रेषण के साथ एसएसएच करते हैं, तो सर्वर एजेंट को एसएसएच कनेक्शन के माध्यम से एक 'सुरंग' वापस बनाता है ताकि यह आगे के एसएसएच कनेक्शनों के लिए उपलब्ध हो।

लेकिन जैसा कि आपके संचार को किसी अन्य होस्ट के माध्यम से पारित किया जाता है, यह आप पर निर्भर करता है कि इंटरमीडिएट होस्ट को ऑनवर्ड कनेक्शन के बारे में डेटा का खुलासा नहीं करना है।

विकिपीडिया राज्यों:

स्थानीय प्रणाली पर, यह महत्वपूर्ण है कि रूट उपयोगकर्ता भरोसेमंद है, क्योंकि रूट उपयोगकर्ता अन्य बातों के अलावा, सीधे कुंजी फ़ाइल को पढ़ सकता है। रिमोट सिस्टम पर, यदि ssh- एजेंट कनेक्शन को अग्रेषित किया जाता है, तो यह भी महत्वपूर्ण है कि रूट उपयोगकर्ता भरोसेमंद है, क्योंकि वे एजेंट सॉकेट तक पहुंच सकते हैं ( हालांकि कुंजी नहीं )।

मोकूबाई
स्रोत
उत्कृष्ट शोध और उत्तर, धन्यवाद। इसलिए, संक्षेप में, कोई नकारात्मक पक्ष यह नहीं है कि I'd को वैसे भी दूरस्थ मशीनों पर सार्वजनिक कुंजी स्थापित करने की आवश्यकता है?
जोनाथन डे
1
मुख्य नकारात्मक पक्ष यह प्रतीत होता है कि आपके पास मध्यवर्ती मशीन के भरोसे का कुछ स्तर होना चाहिए ताकि आप किसी तरह से आगे के कनेक्शन से समझौता न करें या आपको कहीं और पुनर्निर्देशित कर सकें, लेकिन जिस चीज से मुझे विश्वास का स्तर मिल सकता है, वह उससे आगे नहीं है, जिसकी आप अपेक्षा करेंगे। आपके द्वारा कनेक्ट किया गया कोई भी अन्य ssh सर्वर। आपको इस पर भरोसा करना होगा कि आप जिस सच्चे मेजबान के लिए कूद रहे हैं, उसे आपको आगे बढ़ाने के लिए, लेकिन मैं आपको जो बता सकता हूं वह वास्तव में आपको सुरक्षा से समझौता नहीं कर रहा है क्योंकि आप कुंजी या पासवर्ड नहीं दे रहे हैं, केवल एक सार्वजनिक कुंजी है। यही कारण है कि सार्वजनिक कुंजी एन्क्रिप्शन अच्छा है।
Mokubai
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.