macOS e .ssh / id_rsa sicurezza

8

La mia chiave privata super cruciale è memorizzata in ~/.ssh/id_rsa con un chmod di "-rw -------"

Gestisco molte applicazioni sul mio Mac. Ad esempio:

  • Script di Bash
  • .app binari (ad esempio, Sketch.app)
  • Ruby gems e pacchetti Python

Mi sembra che qualsiasi cosa io corra abbia accesso alla mia chiave privata e, in teoria, può sifonarlo con un POST HTTP al server di un hacker.

Non si tratta di un problema di sicurezza? In che modo la gente lo mitiga?

    
posta american-ninja-warrior 08.01.2018 - 15:02
fonte

2 risposte

10

Sì, il software dannoso in esecuzione come utente può fare qualsiasi cosa tu possa fare come utente. Non esiste alcuna separazione privilegiata tra diverse applicazioni eseguite come lo stesso utente. Ciò è stato notato anche da xkcd .

Per proteggere in modo specifico la tua chiave SSH, puoi aggiungere una passphrase, come accennato da galoget, ma ciò aiuterà solo marginalmente - un programma dannoso potrebbe anche raccogliere la memoria quando la chiave è in uso o registrare le sequenze di tasti per la passphrase. (Anche se ci sono alcune attenuazioni per quegli attacchi.)

Un'opzione migliore è usare un token hardware di qualche tipo: io uso un Yubikey 4 con una chiave OpenPGP per l'autorizzazione SSH. Sebbene la mia chiave possa essere sfruttata male quando sbloccata, il materiale chiave non può essere rubato e viene sbloccato solo per un breve periodo di tempo. (È possibile impostare questo timeout su 0 vicino e richiedere l'interazione dell'utente per ciascun uso della chiave.)

Un'altra opzione è quella di memorizzare la tua chiave sotto un altro account utente e utilizzare su per passare a quell'account prima di SSHing.

In ogni caso, se hai un software dannoso in esecuzione come tuo utente sul tuo computer, avrai un brutto momento.

    
risposta data 08.01.2018 - 17:39
fonte
5

La tua chiave privata può essere protetta utilizzando una passphrase, e questo è un altro motivo per utilizzare solo il software proveniente da fonti attendibili.

Ecco due link che saranno un ottimo complemento per la tua comprensione:

Spero che ti aiuti.

    
risposta data 08.01.2018 - 17:22
fonte

Leggi altre domande sui tag