EDITAR:Vea la respuesta a continuación, mis suposiciones eran incorrectas.
Si tengo lo siguiente en mi configuración SSH ( ~/.ssh/configen OS X), ¿es esto un riesgo para la seguridad?
Host *
AddKeysToAgent yes
UseKeychain yes
IdentityFile ~/.ssh/my-secret-key.pem
Tengo entendido que enviaría mi clave secreta a cualquier host sshen el que ingrese. ¿Es esto correcto? En caso afirmativo, ¿es esto un riesgo para la seguridad? ¿Podría, en teoría, el host intentar usar mi clave secreta para iniciar sesión en algunos de los principales hosts SSH (como GitHub)?
Si especifico HostName, ¿estoy en lo cierto al pensar que la clave solo se envía a ese host?
Host *
HostName github.com
AddKeysToAgent yes
UseKeychain yes
IdentityFile ~/.ssh/my-secret-key.pem
Eldocumentos oficiales para configurar SSH para GitHubParece sugerir usar la primera configuración...
Respuesta1
SSH lo hacenoenvíe sus claves privadas al servidor. El mecanismo se basa en el cálculo utilizando lo que posee la entidad: el servidor calcula algo basándose en la clave pública, el cliente basándose en la clave privada (veresta publicación de Exchange de pila de seguridad de la informaciónpara más).
En cualquier caso, ya sea que agregue las claves al agente o no, SSH prueba todas las claves hasta que una tiene éxito. A menos que tenga configurado el Reenvío de agentes, no creo que haya nada en elservidorpara poder utilizar las claves agregadas al agente.
Host *
HostName github.com
AddKeysToAgent yes
Esto establece el valor Hostnamede cada Hosten github.com, lo cual ciertamente no es algo que quieras hacer (esto significa que ssh foo.barse conectará a github.com). Si desea aplicar alguna configuración solo a las conexiones github.com, utilícela como Hostpatrón:
Host github.com
IdentityFile ~/.ssh/my-secret-key.pem
Si se trata de un riesgo para la seguridad depende de contra quién se esté defendiendo. Si sus claves SSH están protegidas con contraseña y alguien más puede acceder al agente SSH en su sistema, claro, esto abre todas las claves protegidas con contraseña para acceder una vez que se agregan al agente.
Pero yo diría que esa amenaza es poco probable.