Мой инструмент SSH (SecureCRT) предлагает параметр конфигурации для включения переадресации агента для всех сеансов SSH. Это кажется полезным, чтобы не забыть включить его, когда это необходимо, но мне интересно, есть ли причина не делать этого?
1 ответ
3
Иллюстрированное руководство по переадресации агентов SSH, похоже, предполагает, что ваш ключ никогда не покидает агент локального компьютера.
В нем также говорится:
Это требует единовременной установки общедоступного пользователя, а не частного! - ключи на всех целевых машинах, но эта стоимость установки быстро окупается предоставленной дополнительной производительностью. Те, кто использует открытые ключи с переадресацией агента, редко возвращаются.
Основные плюсы и минусы этого (с той же страницы)
- Pro: Исключительное удобство
- Против: Требуется установка открытых (не закрытых) ключей на всех целевых системах, что может быть неудобно с самого начала, но после первого раза не является проблемой.
Страница Symantec о ssh-agent, кажется, предлагает то же самое, у вас есть ssh-agent, работающий локально на вашем компьютере, тогда применяется следующее:
Как на самом деле работает переадресация агента? Короче говоря, агент работает на одной машине, и каждый раз, когда вы используете SSH с переадресацией агента, сервер создает «туннель» через SSH-соединение с агентом, чтобы он был доступен для любых дальнейших SSH-соединений.
Но так как ваши сообщения передаются через другой хост, он полностью зависит от того, доверяете ли вы этому промежуточному хосту не раскрывать данные о последующем соединении.
Википедия утверждает:
В локальной системе важно, чтобы пользователь root заслуживал доверия, потому что пользователь root, помимо прочего, может просто прочитать файл ключа напрямую. В удаленной системе, если соединение ssh-agent переадресовано, также важно, чтобы пользователь root был надежным, поскольку он может получить доступ к сокету агента (но не к ключу).