¿Es posible adquirir una clave privada RSA autorizada por SSH solo por tener acceso al servidor?

2

¿Es posible obtener una clave privada RSA (archivo pem) simplemente teniendo acceso (raíz) a un servidor que autoriza el acceso ssh utilizando esa clave privada? Por ejemplo, ¿pueden usarse las entradas en .ssh/authorized_keys para generar las claves privadas RSA para las cuales están asociadas?

La razón por la que pregunto es porque necesito deshabilitar el acceso ssh a un servidor con un archivo de clave en particular. He editado el archivo authorized_keys manualmente y he eliminado la entrada asociada con esa clave. Eso funcionó y el acceso ssh ya no es posible con ese archivo de clave, pero antes de hacerlo, había creado una nueva clave privada para el acceso ssh.

Me preocupa que alguien con ese archivo de clave deshabilitado pueda haber podido adquirir la nueva clave privada RSA antes de que yo pudiera eliminar la anterior.

¿Es eso posible?

    
pregunta RTF 06.09.2015 - 13:20
fuente

2 respuestas

7

Cuando se autentica utilizando una clave, la clave privada real nunca se transmite; solo algunos datos proporcionados por el servidor están firmados con la clave para demostrar que los tiene. SSH'ing a un servidor no autorizado utilizando claves no compromete la clave para siempre. Puede permitir que el atacante use la clave mientras está conectado si tiene configurado el reenvío de agente SSH, pero una vez que se desconecta, el atacante ya no puede usar la clave.

Tenga en cuenta que si sospecha que la máquina está en peligro, todavía debe seguir el procedimiento estándar solo para estar seguro. No debido a su nueva clave (es segura) sino a otros datos confidenciales que el servidor puede estar manejando. El hecho de que haya eliminado la clave anterior de .ssh/authorized_keys no significa que no esté ejecutando un sshd comprometido con la clave del atacante codificada.

    
respondido por el André Borie 06.09.2015 - 13:57
fuente
1
  

Por ejemplo, ¿pueden usarse las entradas en .ssh/authorized_keys para   generó las claves privadas RSA para las que están asociadas?

¿Qué contiene el archivo .ssh/authorized_keys ? Contiene la clave pública cargada por el cliente (usted) al servidor. Se asocia con su clave emparejada, pero la clave privada no puede NO derivarse de la clave pública. Y ese es un requisito clave para que funcione el paradigma de clave pública.

  

¿Es eso posible?

Sí, es posible no solo antes de eliminar el anterior, sino también después de eso, ya que un atacante puede conseguir acceso de root a los servidores y modificar el paquete keyutils-libs.

    
respondido por el user45139 06.09.2015 - 21:50
fuente

Lea otras preguntas en las etiquetas