このSSH構成が正しく構成されていないため、セキュリティ上のリスクはありますか？

Question

SSH確認いいえ秘密鍵をサーバーに送信します。メカニズムは、エンティティが所有するものを使用する計算に基づいています。サーバーは公開鍵に基づいて何かを計算し、クライアントは秘密鍵に基づいて何かを計算します（参照）。この情報セキュリティスタック交換投稿は詳細はこちら）。

どのような場合でも、エージェントにキーを追加するかどうかに関係なく、SSH は成功するまですべてのキーを試みます。プロキシ転送設定がなければ、とにかく便利だとは思わない。仕える人エージェントに追加されたキーを使用する機能。

Host *
  HostName github.com
  AddKeysToAgent yes

これにより、HostnameすべてのHost項目がに設定されますgithub.com。これは確かにユーザーが望むものではありません（つまり、ssh foo.barに接続されていることを意味しますgithub.com）。特定の構成のみを接続に適用するには、github.com次のHostパターンを使用してください。

Host github.com
    IdentityFile ~/.ssh/my-secret-key.pem

セキュリティリスクがあるかどうかは、防御するターゲットが誰であるかによって異なります。 SSHキーがパスワードで保護されていて他の人がシステム上のSSHエージェントにアクセスできる場合は、パスワードで保護されたすべてのキーがエージェントに追加されたときにアクセス用に開きます。

しかし、私はこれらの脅威が起こる可能性が低いと言いたいと思います。

Answer 1

SSH確認いいえ秘密鍵をサーバーに送信します。メカニズムは、エンティティが所有するものを使用する計算に基づいています。サーバーは公開鍵に基づいて何かを計算し、クライアントは秘密鍵に基づいて何かを計算します（参照）。この情報セキュリティスタック交換投稿は詳細はこちら）。

どのような場合でも、エージェントにキーを追加するかどうかに関係なく、SSH は成功するまですべてのキーを試みます。プロキシ転送設定がなければ、とにかく便利だとは思わない。仕える人エージェントに追加されたキーを使用する機能。

Host *
  HostName github.com
  AddKeysToAgent yes

これにより、HostnameすべてのHost項目がに設定されますgithub.com。これは確かにユーザーが望むものではありません（つまり、ssh foo.barに接続されていることを意味しますgithub.com）。特定の構成のみを接続に適用するには、github.com次のHostパターンを使用してください。

Host github.com
    IdentityFile ~/.ssh/my-secret-key.pem

セキュリティリスクがあるかどうかは、防御するターゲットが誰であるかによって異なります。 SSHキーがパスワードで保護されていて他の人がシステム上のSSHエージェントにアクセスできる場合は、パスワードで保護されたすべてのキーがエージェントに追加されたときにアクセス用に開きます。

しかし、私はこれらの脅威が起こる可能性が低いと言いたいと思います。

このSSH構成が正しく構成されていないため、セキュリティ上のリスクはありますか？

ベストアンサー1

おすすめ記事