Ogni sistema lungo il percorso con il privilegio appropriato potrebbe "dirottare" la tua sessione (vedi la pagina man relativa a ssh-agent, per alcuni avvertimenti e cercare su questo sito e sul web per qualche informazione in più) non ho il tempo adesso per dare correttamente esempi ...):
- Ad esempio, SSH_AUTH_SOCK potrebbe essere accessibile a un'altra istanza dell'utente oa root (o, a seconda delle impostazioni del sistema, a un gruppo più ampio di utenti), e può essere utilizzato per accedere a qualsiasi sistema a cui si può accedere utilizzando il chiavi memorizzate nell'agente.
Avere solo 1 sistema di base per controllare e utilizzare l'agente è molto più facile da proteggere e controllare. Altrimenti, ogni hop intermedio aggiunge un punto di ingresso (potenzialmente più debole) per alcuni utenti su quel sistema.
Si noti che ci sono anche molti altri modi in cui un sistema intermedio può compromettere la connessione ssh. Alcuni tramite i meccanismi ssh stessi, ma anche alcuni tramite i terminali tty / stessi, ecc.
Maggiore è il numero di hop che attraversi, maggiore è il rischio che uno di quei luppoli (inclusa la tua macchina originale!) possa essere utilizzato per dirottare la tua connessione [verso la destinazione finale, o verso uno qualsiasi dei salti intermedi, o addirittura a qualsiasi altra destinazione che le tue chiavi SSH potrebbero aprire l'accesso a ...]