¿Por qué debería uno evitar cadenas de sesiones SSH?

13

En este documento en Seguridad en los recursos informáticos del NSC , hay varios consejos obvios (use una contraseña segura, no repita contraseñas, etc.). Un consejo que no he visto antes, a saber:

  

Para iniciar sesión en un sistema y luego continuar desde ese sistema a un tercero (como se ilustra a continuación), se debe evitar.


Ilustración que recomienda las cadenas SSH

¿Por qué deberían evitarse tales cadenas de sesiones SSH?

    
pregunta gerrit 27.11.2013 - 17:51
fuente

2 respuestas

10

Cada sistema en el camino con el privilegio adecuado podría "secuestrar" su sesión (consulte la página de manual sobre ssh-agent, para ver algunas advertencias. Y busque en este sitio y en la web más información) (lo siento No tengo tiempo ahora para dar ejemplos correctamente ...):

  • Por ejemplo, SSH_AUTH_SOCK podría ser accesible a otra instancia del usuario o root (o, dependiendo de la configuración del sistema, a un grupo más amplio de usuarios), y utilizarse para acceder a cualquier sistema al que pueda acceder utilizando el Llaves almacenadas en el agente.

Tener un solo sistema base para controlar y usar el agente es mucho más fácil de asegurar y controlar. De lo contrario, cada salto intermedio agrega un punto de entrada (potencialmente más débil) para algunos de los usuarios en ese sistema.

Tenga en cuenta que también hay muchas otras formas en que un sistema intermediario podría comprometer su conexión ssh. Algunos a través de los propios mecanismos ssh, pero también algunos a través de los propios tty / terminales, etc.

Cuanto más salte, mayor será el riesgo de que uno de esos saltos (¡incluyendo su máquina original!) se pueda usar para secuestrar su conexión [al destino final, a cualquiera de los saltos intermedios, o incluso a cualquier otro destino en el que sus teclas ssh puedan abrir el acceso a ...]

    
respondido por el Olivier Dulac 27.11.2013 - 18:05
fuente
4

Ese enlace tiene el diagrama en el contexto del control de daños.

En el diagrama de la derecha, si una de las máquinas de la extrema derecha ha sido comprometida, el atacante no puede continuar a otros servidores.

Sin embargo, en el lado izquierdo, el escenario de "cadena", si alguna de las casillas está comprometida, él puede continuar en la cadena y comprometer cada sistema a su vez . Esto es asumiendo que se usa la autenticación de clave pública, pero creo que eso es lo que el autor está tratando de transmitir.

    
respondido por el Rubber Duck 27.11.2013 - 18:12
fuente

Lea otras preguntas en las etiquetas