E 'possibile acquisire una chiave privata RSA autorizzata SSH semplicemente avendo accesso al server?

2

È possibile ottenere una chiave privata RSA (file pem) semplicemente avendo accesso (root) a un server che autorizza l'accesso ssh usando quella chiave privata. Ad esempio, è possibile utilizzare le voci in .ssh/authorized_keys per generare le chiavi private RSA per le quali sono associate.

Il motivo per cui lo chiedo è perché ho bisogno di disabilitare l'accesso ssh a un server con un particolare file chiave. Ho modificato manualmente il file authorized_keys e ho rimosso la voce associata a quella chiave. Questo ha funzionato e l'accesso ssh non è più possibile con quel file chiave, ma prima che lo facessi, avevo creato una nuova chiave privata per l'accesso ssh.

Sono preoccupato che qualcuno con quel file chiave disabilitato possa essere stato in grado di acquisire la nuova chiave privata RSA prima che potessi eliminare quella precedente.

È possibile?

    
posta RTF 06.09.2015 - 13:20
fonte

2 risposte

7

Quando si autentica usando una chiave, la chiave privata effettiva non viene mai trasmessa; solo alcuni dati forniti dal server sono firmati usando la chiave per dimostrare che ce l'hai. SSH'ing su un server non autorizzato che utilizza i tasti non compromette la chiave per sempre. Può consentire all'utente malintenzionato di utilizzare la chiave mentre sei connesso se hai configurato l'inoltro dell'agente SSH, ma una volta disconnesso, l'utente malintenzionato non può più utilizzare la chiave.

Nota che se sospetti che la macchina sia compromessa, dovresti comunque seguire procedura standard solo per sicurezza. Non a causa della nuova chiave (è sicura), ma a causa di altri dati sensibili che il server potrebbe gestire. Il fatto che tu abbia eliminato la vecchia chiave da .ssh/authorized_keys non significa che non stai già correndo un% co_de compromesso con la chiave dell'attaccante codificata in esso.

    
risposta data 06.09.2015 - 13:57
fonte
1

For example, can the entries in .ssh/authorized_keys be used to generated the RSA private keys for which they are associated with?

Che cosa contiene il file .ssh/authorized_keys ? Contiene la chiave pubblica caricata dal client (tu) sul server. È associato alla sua chiave accoppiata, ma la chiave privata può NOT essere derivata dalla chiave pubblica. E questo è un requisito chiave per il paradigma della chiave pubblica.

Is that possible?

Sì, è possibile non solo prima di cancellare quello vecchio ma anche dopo perché un utente malintenzionato può ottenere l'accesso come root ai server e modificare il pacchetto keyutils-libs.

    
risposta data 06.09.2015 - 21:50
fonte

Leggi altre domande sui tag