Perché si dovrebbero evitare catene di sessioni SSH?

13

In questo documento su Sicurezza sulle risorse di elaborazione NSC , ci sono diversi consigli ovvi (utilizzare una password complessa, non ripetere le password, ecc.). Un consiglio che non avevo mai visto prima, ovvero:

To login to a system and then continue from that system to a third (as illustrated below) should be avoided.


Illustrazione che raccomanda contro catene SSH

Perché queste catene di sessioni SSH dovrebbero essere evitate?

    
posta gerrit 27.11.2013 - 17:51
fonte

2 risposte

10

Ogni sistema lungo il percorso con il privilegio appropriato potrebbe "dirottare" la tua sessione (vedi la pagina man relativa a ssh-agent, per alcuni avvertimenti e cercare su questo sito e sul web per qualche informazione in più) non ho il tempo adesso per dare correttamente esempi ...):

  • Ad esempio, SSH_AUTH_SOCK potrebbe essere accessibile a un'altra istanza dell'utente oa root (o, a seconda delle impostazioni del sistema, a un gruppo più ampio di utenti), e può essere utilizzato per accedere a qualsiasi sistema a cui si può accedere utilizzando il chiavi memorizzate nell'agente.

Avere solo 1 sistema di base per controllare e utilizzare l'agente è molto più facile da proteggere e controllare. Altrimenti, ogni hop intermedio aggiunge un punto di ingresso (potenzialmente più debole) per alcuni utenti su quel sistema.

Si noti che ci sono anche molti altri modi in cui un sistema intermedio può compromettere la connessione ssh. Alcuni tramite i meccanismi ssh stessi, ma anche alcuni tramite i terminali tty / stessi, ecc.

Maggiore è il numero di hop che attraversi, maggiore è il rischio che uno di quei luppoli (inclusa la tua macchina originale!) possa essere utilizzato per dirottare la tua connessione [verso la destinazione finale, o verso uno qualsiasi dei salti intermedi, o addirittura a qualsiasi altra destinazione che le tue chiavi SSH potrebbero aprire l'accesso a ...]

    
risposta data 27.11.2013 - 18:05
fonte
4

Questo link ha lo schema nel contesto del controllo dei danni.

Nel diagramma di destra, se una delle macchine di estrema destra è stata compromessa, l'utente malintenzionato non può continuare ad altri server.

Tuttavia, a sinistra, lo scenario 'catena', se una qualsiasi delle caselle è compromessa, può continuare lungo la catena e compromettere a turno ogni sistema . Ciò presuppone l'utilizzo dell'autenticazione a chiave pubblica, ma penso che sia ciò che l'autore sta cercando di trasmettere.

    
risposta data 27.11.2013 - 18:12
fonte

Leggi altre domande sui tag