É um risco de segurança deixar o ssh-agent sempre usar o mesmo socket?

1

Eu uso ssh-agent como um programa de wrapper para startx . É um risco de segurança usar sempre o mesmo arquivo de soquete?

ssh-agent -a /tmp/xyz123 startx

-a especifica o endereço de ligação do soquete. Se não for especificado, seria um nome de arquivo aleatório.

Gostaria de usar um nome de arquivo de soquete de correção porque desejo especificar SSH_AUTH_SOCK=/tmp/xyz123 no meu arquivo crontab. Caso contrário, os cronjobs que usam o SSH falham.

    
por schoettl 23.01.2018 / 14:30

2 respostas

0

IMHO, usando /tmp é um risco de segurança menor. Usar o mesmo nome de arquivo não é um problema, porque mesmo que você o altere toda vez, será fácil encontrá-lo.

Coloque o socket em um diretório legível apenas pelo próprio usuário.

Por exemplo Em muitas distribuições recentes, o arquivo de soquete é sempre /run/user/1000/keyring/ssh , em que 1000 é o ID do usuário.

    
por 23.01.2018 / 15:03
0

O soquete tem a mesma proteção que o conteúdo de suas permissões ~/.ssh dir: file, o que impede outros usuários de acessá-lo. Normalmente, opera-se sob a suposição de que isso é seguro. Se alguém não pode operar sob essa suposição, então existem inúmeras outras vulnerabilidades no sistema, então se preocupar com um soquete não é um bom uso do tempo de preocupação. :)

Do ponto de vista externo, todas as comunicações são criptografadas (é claro!), então não vejo como usar o mesmo soquete representa algum problema ao olhar de fora para dentro.

Eu diria que garantir o nome sempre muda adiciona um pequeno incremento de segurança adicional (por obscuridade) ... não ao ponto de eu sair do meu caminho para fazê-lo ou começar a pensar que eu parou todos os chapéus negros em suas trilhas.

    
por 23.01.2018 / 14:58

Tags