Является ли эта конфигурация SSH неправильно настроенной и представляет ли она угрозу безопасности?

tag-icon tag-icon ssh security
Является ли эта конфигурация SSH неправильно настроенной и представляет ли она угрозу безопасности?

РЕДАКТИРОВАТЬ:Смотрите ответ ниже, мои предположения оказались неверными.

Если в моей конфигурации SSH (на OS X) указано следующее ~/.ssh/config, представляет ли это угрозу безопасности?

Host *
  AddKeysToAgent yes
  UseKeychain yes
  IdentityFile ~/.ssh/my-secret-key.pem

Я понимаю, что я буду отправлять свой секретный ключ на любой хост, на который я sshзахожу. Это правильно? Если да, то представляет ли это угрозу безопасности? Может ли хост в теории попытаться использовать мой секретный ключ для входа на некоторые основные хосты SSH (например, GitHub)?

Если я укажу HostName, правильно ли я понимаю, что ключ отправляется только на этот хост:

Host *
  HostName github.com
  AddKeysToAgent yes
  UseKeychain yes
  IdentityFile ~/.ssh/my-secret-key.pem

Theофициальная документация по настройке SSH для GitHubпохоже, предлагают использовать первую конфигурацию...

решение1

SSH делаетнетотправьте свои закрытые ключи на сервер. Механизм основан на вычислении с использованием того, чем владеет сущность - сервер вычисляет что-то на основе открытого ключа, клиент на основе закрытого ключа (см.этот пост на форуме Information Security Stack Exchangeдля большего).

В любом случае, добавляете ли вы ключи к агенту или нет, SSH пробует все ключи, пока один не сработает. Если у вас не настроена переадресация агента, я не думаю, что есть что-либо для чего-либо насерверчтобы иметь возможность использовать ключи, добавленные к агенту.

Host *
  HostName github.com
  AddKeysToAgent yes

Это устанавливает Hostnameдля каждого Hostзначение github.com, что, безусловно, не то, что вы хотите сделать (это означает, ssh foo.barчто будет подключаться к github.com). Если вы хотите применить некоторую конфигурацию только к соединениям с github.com, используйте это как Hostшаблон:

Host github.com
    IdentityFile ~/.ssh/my-secret-key.pem

Является ли это угрозой безопасности, зависит от того, от кого вы защищаетесь. Если ваши ключи SSH защищены паролем, и кто-то другой может получить доступ к агенту SSH в вашей системе, конечно, это открывает доступ ко всем защищенным паролем ключам после их добавления в агент.

Но я бы сказал, что такая угроза маловероятна.

Связанный контент