È sicuro per un server client accedere a un server non trusted con SSH? [duplicare]

Question

È sicuro per un server client accedere a un server non trusted con SSH? [duplicare]

#1 da (0 voti)
#2 da (0 voti)

1

Stavo cambiando un frontend per usare SSH invece di HTTP per il backend, e poi mi ha colpito. HTTP è senza stato, quindi posso inviare richieste a un server di cui non mi fido. Ma che ne pensi di SSH? SSH non è una comunicazione a due canali laterali?

Esempio: Il server A esegue i comandi sul server B con SSH. Apre, esegue e chiude la sessione.

Quanto è sicuro questo per il server A nel caso in cui il server B venga compromesso? Un utente malintenzionato potrebbe utilizzare questa connessione per accedere nuovamente al server A, eseguire comandi o richiamare dati sul canale?

Riprendere è sicuro per il client finale per SSH in server non attendibili?

linux ssh

posta nibb11 03.02.2018 - 11:35

fonte

2 risposte

Leggi altre domande sui tag linux ssh

SSH Proxy vs VPN Killswitch Domande generali sulla sicurezza a banda larga mobile [chiusa]

score 0 · Answer 1

Dovrebbe essere sicuro quanto HTTPS, il che significa che un server dannoso dovrebbe essere in grado di sfruttare alcune vulnerabilità nel client per abusare della connessione, il che è vero sia per i protocolli HTTPS che SSH.

Tuttavia, dovresti assicurarti di non inoltrare il tuo ssh-agent ai server di cui non ti fidi. Un buon modo per assicurarti di impostare quanto segue in .ssh / config:

ClearAllForwardings yes

score 0 · Answer 2

Ssh è progettato per essere utilizzato senza la necessità di fidarsi del server.

Tuttavia, come con tutti i software, questo non è sempre valido. CVE-2016-0777 e le sue vulnerabilità associate hanno consentito a un server malintenzionato di leggere la chiave privata di un cliente, che consente loro di impersonare quel client su qualsiasi altro server. Ecco ulteriori informazioni su di esso:

link
link

Questa era considerata una vulnerabilità principale. Per i modelli di minacce della maggior parte delle persone, è possibile presumere che non vi sia un'altra vulnerabilità nota di questo tipo e che sia possibile connettersi in modo sicuro a server non verificati. Ma dovrai decidere tu stesso in base alla tua situazione.