Действительно ли мой закрытый ключ безопасен, если я использую authenticaiton передачу агента с ssh-A опция?
Я люблю опцию соединиться с серверами через SSH с-A опцией, таким образом, я могу использовать свои закрытые ключи на сервере.
Это позволяет мне обновить мерзавца/репозитории SVN и подключение к другим серверам без потребности загрузки закрытого ключа к серверу.
Потрясающе!
Но как это работает?
Мое беспокойство - то, что закрытый ключ временный доступный на сервере. И если сервер поставлен под угрозу, или другой пользователь зарегистрирован как корень так или иначе, к нему можно было получить доступ.
Имеет место это?
Я исследовал содержание/tmp, где папка назвала ssh-something присутствует с названным сокетом ssh-something внутри.
Это дает мне, надеются, что необходимые запросы квитирования передаются моей локальной машине и обрабатываются/подписываются там, и мой закрытый ключ на самом деле никогда не оставляет мою локальную машину.
Имеет место это?
Извините за вопрос перед прочтением ...
От man ssh
Переадресацию агентов следует включать с осторожностью . Пользователи с возможность обхода прав доступа к файлам на удаленном хосте (для агента Сокет домена UNIX) может получить доступ к локальному агенту через перенаправленный подключение. Злоумышленник не может получить ключевой материал от агента, однако они могут выполнять операции с ключами, которые позволяют им аутентифицироваться с использованием идентификаторов, загруженных в агент.