Encaminhamento de agente SSH
O que é Encaminhamento de agente SSH?
Encaminhamento de agente SSHFuncionalidade do OpenSSH ativada por -A ou ForwardAgent yes que expoe um socket UNIX no host remoto para que comandos ali usem o agente SSH local em saltos seguintes.
O encaminhamento de agente SSH permite executar ssh-agent localmente e saltar de um servidor para outro sem copiar chaves privadas. Com ForwardAgent yes, o openssh cria um socket UNIX no host remoto (caminho em SSH_AUTH_SOCK) que reencaminha pedidos de assinatura para o agente local. O risco: qualquer pessoa com root nesse host pode sequestrar o socket e assinar autenticacoes em nome do utilizador para qualquer destino alcancavel enquanto a sessao durar. Incidentes notorios (matrix.org em 2019, alertas de cadeia de fornecimento no GitHub.com) levaram a recomendar ProxyJump (-J), certificados SSH com TTL curto ou chaves apoiadas em hardware (FIDO ed25519-sk), e a configurar IdentityAgent ou pedidos de confirmacao no agente quando o encaminhamento for inevitavel.
● Exemplos
- 01
Um atacante root num jump host usa SSH_AUTH_SOCK para assinar autenticacoes em servidores de producao a jusante.
- 02
Substituir ssh -A admin@jump por ssh -J jump admin@destino para que a chave privada nunca chegue ao jump host.
● Perguntas frequentes
O que é Encaminhamento de agente SSH?
Funcionalidade do OpenSSH ativada por -A ou ForwardAgent yes que expoe um socket UNIX no host remoto para que comandos ali usem o agente SSH local em saltos seguintes. Pertence à categoria Segurança de rede da cibersegurança.
O que significa Encaminhamento de agente SSH?
Funcionalidade do OpenSSH ativada por -A ou ForwardAgent yes que expoe um socket UNIX no host remoto para que comandos ali usem o agente SSH local em saltos seguintes.
Como se defender contra Encaminhamento de agente SSH?
As defesas contra Encaminhamento de agente SSH costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Encaminhamento de agente SSH?
Nomes alternativos comuns: ForwardAgent, ssh -A.