ssh-add
se usa para agregar claves privadas a un local ssh-agent
. Eso significa que la clave privada será accesible para el agente (probablemente una cuenta administrativa puede leerla de la memoria). Pero normalmente nunca debería abandonar la máquina local (desde la página de manual de ssh-agent):
El agente nunca enviará una clave privada a través de su canal de solicitud.
En cambio, las operaciones que requieren una clave privada serán realizadas por el
agente, y el resultado será devuelto al solicitante. De esta manera, las claves privadas no están expuestas a los clientes que utilizan el agente.
Si cree que puede confiar en su máquina local, el riesgo debería ser aceptable. Y de todos modos, nunca debe usar una clave privada en una máquina en la que no confíe, ya sea a través de ssh-agent o directamente.
Debe tener en cuenta que ssh-agent
puede reenviar el uso de la clave privada a través de un canal ssh.
Los datos de autenticación no necesitan almacenarse en ninguna otra máquina, y
Las frases de autenticación nunca pasan por la red. Sin embargo, la conexión con el agente se reenvía a través de inicios de sesión remotos SSH, y el usuario
Por lo tanto, puede utilizar de forma segura los privilegios otorgados por las identidades en cualquier lugar de la red.
Eso significa que si lo usa mientras está conectado a una máquina hostil, un atacante nunca podría capturar su clave privada, pero podría realizar conexiones autenticadas a otras máquinas de la red en nombre de su cuenta. Si se trata de un problema, en realidad depende de cómo confíe en las máquinas a las que se conecta.