macOS y seguridad .ssh / id_rsa

8
La clave privada

Mi super crucial se almacena en ~/.ssh/id_rsa con un chmod de "-rw -------"

Ejecuto muchas aplicaciones en mi Mac. Por ejemplo:

  • Bash scripts
  • binarios de .app (por ejemplo, Sketch.app)
  • Ruby gems y paquetes de Python

Me parece que todo lo que ejecuto tiene acceso a mi clave privada y, en teoría, puede desviarlo con un HTTP POST al servidor de un pirata informático.

¿No es este un problema de seguridad? ¿Cómo la gente lo mitiga?

    
pregunta american-ninja-warrior 08.01.2018 - 15:02
fuente

2 respuestas

10

Sí, el software malicioso que se ejecuta como usuario puede hacer cualquier cosa que usted pueda hacer como usuario. No hay una separación de privilegios entre diferentes aplicaciones que se ejecutan como el mismo usuario. Esto también ha sido observado por xkcd .

Para proteger su clave SSH específicamente, puede agregar una frase de paso, como lo menciona galoget, pero eso solo ayudará de manera marginal: un programa malicioso también podría raspar la memoria cuando la clave está en uso o registrar las pulsaciones de su frase de contraseña. (Aunque hay algunas mitigaciones para esos ataques.)

Una mejor opción es usar un token de hardware de algún tipo, yo uso un Yubikey 4 con una clave OpenPGP para la autorización SSH. Aunque se puede abusar de mi clave cuando se desbloquea, el material de la llave en sí no puede ser robado, y solo se desbloquea durante un corto período de tiempo. (Podría establecer este tiempo de espera cerca de 0 y requerir la interacción del usuario para cada uso de la clave).

Otra opción es almacenar su clave en otra cuenta de usuario y usar su para cambiar a esa cuenta antes de SSHing.

En cualquier caso, si tienes un software malicioso ejecutándose como tu usuario en tu computadora, lo pasarás mal.

    
respondido por el David 08.01.2018 - 17:39
fuente
5

Su clave privada se puede proteger con una frase de contraseña, y esa es otra razón para usar software de fuentes confiables.

Aquí hay dos enlaces que serán un muy buen complemento para su comprensión:

Espero que ayude.

    
respondido por el galoget 08.01.2018 - 17:22
fuente

Lea otras preguntas en las etiquetas