Encaminhamento de agente SSH
O que é Encaminhamento de agente SSH?
Encaminhamento de agente SSHFuncionalidade do OpenSSH ativada por -A ou ForwardAgent yes que expoe um socket UNIX no host remoto para que comandos ali usem o agente SSH local em saltos seguintes.
O encaminhamento de agente SSH permite executar ssh-agent localmente e saltar de um servidor para outro sem copiar chaves privadas. Com ForwardAgent yes, o openssh cria um socket UNIX no host remoto (caminho em SSH_AUTH_SOCK) que reencaminha pedidos de assinatura para o agente local. O risco: qualquer pessoa com root nesse host pode sequestrar o socket e assinar autenticacoes em nome do utilizador para qualquer destino alcancavel enquanto a sessao durar. Incidentes notorios (matrix.org em 2019, alertas de cadeia de fornecimento no GitHub.com) levaram a recomendar ProxyJump (-J), certificados SSH com TTL curto ou chaves apoiadas em hardware (FIDO ed25519-sk), e a configurar IdentityAgent ou pedidos de confirmacao no agente quando o encaminhamento for inevitavel.
● Exemplos
- 01
Um atacante root num jump host usa SSH_AUTH_SOCK para assinar autenticacoes em servidores de producao a jusante.
- 02
Substituir ssh -A admin@jump por ssh -J jump admin@destino para que a chave privada nunca chegue ao jump host.
● Perguntas frequentes
O que é Encaminhamento de agente SSH?
Funcionalidade do OpenSSH ativada por -A ou ForwardAgent yes que expoe um socket UNIX no host remoto para que comandos ali usem o agente SSH local em saltos seguintes. Pertence à categoria Segurança de rede da cibersegurança.
O que significa Encaminhamento de agente SSH?
Funcionalidade do OpenSSH ativada por -A ou ForwardAgent yes que expoe um socket UNIX no host remoto para que comandos ali usem o agente SSH local em saltos seguintes.
Como funciona Encaminhamento de agente SSH?
O encaminhamento de agente SSH permite executar ssh-agent localmente e saltar de um servidor para outro sem copiar chaves privadas. Com ForwardAgent yes, o openssh cria um socket UNIX no host remoto (caminho em SSH_AUTH_SOCK) que reencaminha pedidos de assinatura para o agente local. O risco: qualquer pessoa com root nesse host pode sequestrar o socket e assinar autenticacoes em nome do utilizador para qualquer destino alcancavel enquanto a sessao durar. Incidentes notorios (matrix.org em 2019, alertas de cadeia de fornecimento no GitHub.com) levaram a recomendar ProxyJump (-J), certificados SSH com TTL curto ou chaves apoiadas em hardware (FIDO ed25519-sk), e a configurar IdentityAgent ou pedidos de confirmacao no agente quando o encaminhamento for inevitavel.
Como se defender contra Encaminhamento de agente SSH?
As defesas contra Encaminhamento de agente SSH costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Encaminhamento de agente SSH?
Nomes alternativos comuns: ForwardAgent, ssh -A.
● Termos relacionados
- network-security№ 1089
Tipos de chaves SSH
Algoritmos de chave assimetrica suportados pelo OpenSSH para autenticacao de utilizador e host: RSA, ECDSA (curvas NIST) e o atual padrao moderno Ed25519.
- network-security№ 594
Ficheiro known_hosts
Ficheiro do cliente OpenSSH (~/.ssh/known_hosts) que fixa as chaves publicas dos servidores para que o SSH detete mudancas de host-key indicativas de um ataque MITM.
- identity-access№ 414
FIDO2
Padrão aberto de autenticação da FIDO Alliance que combina WebAuthn (API do navegador) e CTAP (protocolo do autenticador) para um início de sessão sem palavra-passe e resistente a phishing.
- identity-access№ 861
Gestão de Acesso Privilegiado (PAM)
Conjunto de práticas e ferramentas que protegem, controlam, monitorizam e auditam o acesso a contas e sistemas com privilégios administrativos elevados.
- defense-ops№ 606
Movimento Lateral
Tática MITRE ATT&CK (TA0008) que reúne técnicas com que o atacante salta de um host comprometido para outros sistemas no ambiente.
- network-security№ 1087
SSH
Protocolo de rede criptografico (RFC 4251, porta 22) que oferece login remoto, execucao de comandos e tunelamento autenticados, cifrados e com integridade sobre redes nao confiaveis.