¿Es posible adquirir una clave privada RSA autorizada por SSH solo por tener acceso al servidor?

Cuando se autentica utilizando una clave, la clave privada real nunca se transmite; solo algunos datos proporcionados por el servidor están firmados con la clave para demostrar que los tiene. SSH'ing a un servidor no autorizado utilizando claves no compromete la clave para siempre. Puede permitir que el atacante use la clave mientras está conectado si tiene configurado el reenvío de agente SSH, pero una vez que se desconecta, el atacante ya no puede usar la clave.

Tenga en cuenta que si sospecha que la máquina está en peligro, todavía debe seguir el procedimiento estándar solo para estar seguro. No debido a su nueva clave (es segura) sino a otros datos confidenciales que el servidor puede estar manejando. El hecho de que haya eliminado la clave anterior de .ssh/authorized_keys no significa que no esté ejecutando un sshd comprometido con la clave del atacante codificada.

  

Por ejemplo, ¿pueden usarse las entradas en .ssh/authorized_keys para   generó las claves privadas RSA para las que están asociadas?

¿Qué contiene el archivo .ssh/authorized_keys ? Contiene la clave pública cargada por el cliente (usted) al servidor. Se asocia con su clave emparejada, pero la clave privada no puede NO derivarse de la clave pública. Y ese es un requisito clave para que funcione el paradigma de clave pública.

  

¿Es eso posible?

Sí, es posible no solo antes de eliminar el anterior, sino también después de eso, ya que un atacante puede conseguir acceso de root a los servidores y modificar el paquete keyutils-libs.