Forwarding d'agent SSH
Qu'est-ce que Forwarding d'agent SSH ?
Forwarding d'agent SSHFonctionnalite d'OpenSSH activee par -A ou ForwardAgent yes qui expose une socket UNIX sur l'hote distant pour que ses commandes utilisent l'agent SSH local lors des sauts suivants.
Le forwarding d'agent SSH permet de lancer ssh-agent en local puis de rebondir d'un serveur a un autre sans copier les cles privees. Avec ForwardAgent yes, openssh cree une socket UNIX sur l'hote distant (chemin dans SSH_AUTH_SOCK) qui relaie les demandes de signature jusqu'a l'agent local. Le risque : toute personne disposant de root sur l'hote distant peut detourner cette socket et signer des authentifications au nom de l'utilisateur vers n'importe quelle cible joignable pendant la session. Des incidents marquants (matrix.org 2019, alertes supply-chain de GitHub.com) ont conduit a privilegier ProxyJump (-J), les certificats SSH a courte duree de vie ou des cles materielles (FIDO ed25519-sk), et a configurer IdentityAgent ou la confirmation interactive de l'agent quand le forwarding est inevitable.
● Exemples
- 01
Un attaquant root sur un bastion utilise SSH_AUTH_SOCK pour signer des authentifications vers des serveurs de production en aval.
- 02
Remplacer ssh -A admin@jump par ssh -J jump admin@target afin que la cle privee n'atteigne jamais le bastion.
● Questions fréquentes
Qu'est-ce que Forwarding d'agent SSH ?
Fonctionnalite d'OpenSSH activee par -A ou ForwardAgent yes qui expose une socket UNIX sur l'hote distant pour que ses commandes utilisent l'agent SSH local lors des sauts suivants. Cette notion relève de la catégorie Sécurité réseau en cybersécurité.
Que signifie Forwarding d'agent SSH ?
Fonctionnalite d'OpenSSH activee par -A ou ForwardAgent yes qui expose une socket UNIX sur l'hote distant pour que ses commandes utilisent l'agent SSH local lors des sauts suivants.
Comment fonctionne Forwarding d'agent SSH ?
Le forwarding d'agent SSH permet de lancer ssh-agent en local puis de rebondir d'un serveur a un autre sans copier les cles privees. Avec ForwardAgent yes, openssh cree une socket UNIX sur l'hote distant (chemin dans SSH_AUTH_SOCK) qui relaie les demandes de signature jusqu'a l'agent local. Le risque : toute personne disposant de root sur l'hote distant peut detourner cette socket et signer des authentifications au nom de l'utilisateur vers n'importe quelle cible joignable pendant la session. Des incidents marquants (matrix.org 2019, alertes supply-chain de GitHub.com) ont conduit a privilegier ProxyJump (-J), les certificats SSH a courte duree de vie ou des cles materielles (FIDO ed25519-sk), et a configurer IdentityAgent ou la confirmation interactive de l'agent quand le forwarding est inevitable.
Comment se défendre contre Forwarding d'agent SSH ?
Les défenses contre Forwarding d'agent SSH combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Forwarding d'agent SSH ?
Noms alternatifs courants : ForwardAgent, ssh -A.
● Termes liés
- network-security№ 1089
Types de cles SSH
Algorithmes de cles asymetriques acceptes par OpenSSH pour l'authentification utilisateur et hote : RSA, ECDSA (courbes NIST) et le defaut moderne Ed25519.
- network-security№ 594
Fichier known_hosts
Fichier client OpenSSH (~/.ssh/known_hosts) qui memorise les cles publiques des serveurs pour que SSH detecte les changements de host-key pouvant trahir une attaque MITM.
- identity-access№ 414
FIDO2
Standard ouvert d'authentification de la FIDO Alliance combinant WebAuthn (API navigateur) et CTAP (protocole des authentificateurs) pour une connexion sans mot de passe et résistante à l'hameçonnage.
- identity-access№ 861
Gestion des accès à privilèges (PAM)
Ensemble de pratiques et d'outils qui sécurisent, contrôlent, surveillent et auditent l'accès aux comptes et systèmes disposant de privilèges administratifs élevés.
- defense-ops№ 606
Mouvement latéral
Tactique MITRE ATT&CK (TA0008) couvrant les techniques permettant à un attaquant de rebondir d'un hôte compromis vers d'autres systèmes de l'environnement.
- network-security№ 1087
SSH
Protocole reseau cryptographique (RFC 4251, port 22) qui fournit une session a distance, l'execution de commandes et des tunnels authentifies, chiffres et integres sur un reseau non fiable.