Перенаправление SSH-агента
Что такое Перенаправление SSH-агента?
Перенаправление SSH-агентаВозможность OpenSSH (-A или ForwardAgent yes), при которой на удалённом хосте создаётся UNIX-сокет, позволяющий командам там использовать локальный SSH-агент для дальнейших подключений.
Перенаправление SSH-агента позволяет пользователю запустить ssh-agent локально и переходить с сервера на сервер, не копируя закрытые ключи. При подключении с ForwardAgent yes openssh создаёт на удалённом хосте UNIX-сокет (путь в SSH_AUTH_SOCK), проксирующий запросы подписи к локальному агенту. Опасность в том, что любой пользователь с root на удалённом хосте может перехватить этот сокет и от имени пользователя подписывать аутентификации к любым доступным целям, пока активен сеанс. Громкие инциденты (matrix.org в 2019, предупреждения о supply-chain на GitHub.com) привели к рекомендации использовать ProxyJump (-J), краткосрочные SSH-сертификаты или ключи на аппаратных токенах (FIDO ed25519-sk), а также включать IdentityAgent или подтверждения подписи в агенте, когда перенаправление неизбежно.
● Примеры
- 01
Атакующий с root на bastion-хосте через SSH_AUTH_SOCK подписывает аутентификации к нижестоящим продовым серверам от имени пользователя.
- 02
Замена ssh -A admin@jump на ssh -J jump admin@target — закрытый ключ никогда не попадает на bastion.
● Частые вопросы
Что такое Перенаправление SSH-агента?
Возможность OpenSSH (-A или ForwardAgent yes), при которой на удалённом хосте создаётся UNIX-сокет, позволяющий командам там использовать локальный SSH-агент для дальнейших подключений. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает Перенаправление SSH-агента?
Возможность OpenSSH (-A или ForwardAgent yes), при которой на удалённом хосте создаётся UNIX-сокет, позволяющий командам там использовать локальный SSH-агент для дальнейших подключений.
Как защититься от Перенаправление SSH-агента?
Защита от Перенаправление SSH-агента обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Перенаправление SSH-агента?
Распространённые альтернативные названия: ForwardAgent, ssh -A.