A resposta básica é não: o usuário no computador cliente (B) pode executar comandos no computador servidor (A) (portanto, o administrador no cliente pode executar comandos no servidor), mas o administrador no servidor pode só influencia o que o usuário está fazendo no cliente.
No entanto, isso não significa que o computador cliente esteja totalmente protegido do administrador do servidor. Um administrador de servidor mal-intencionado pode inserir algum código de ataque em um arquivo executável que o usuário copiará para o computador cliente e executará lá.
Além disso, se o usuário tiver aberto um túnel além da conexão ssh, isso pode fornecer outro vetor de ataque. Por exemplo, os túneis X11 podem praticamente permitir que o administrador do servidor controle remotamente aplicativos X11 executados localmente na máquina cliente (por exemplo, injetando pressionamentos de teclas ou dados da área de transferência). Openssh fornece alguma proteção (veja as descrições de -X
, -Y
e ForwardX11Trusted
no Openssh manual do cliente ) por meio da extensão X11 SECURITY , mas esses controles não fornecem proteção absoluta (o X11 não foi projetado com o isolamento de aplicativos em mente, então você não pode ter segurança sem sacrificar a funcionalidade).