ssh config 是否安全?

2020-06-20 22:22:02 +08:00
 patx

比如我在.ssh 目录下配置了 config 文件,

里面包含了服务器主机名、用户名和私钥文件路径。

如果我本地项目引入了恶意的依赖包,

运行时读取了 config 文件内容、私钥文件,并被黑客利用,

那么我服务器登录信息不是泄漏了?

4487 次点击
所在节点    Linux
27 条回复
lxk11153
2020-06-20 22:25:32 +08:00
感觉这有点类似你加入一个 wifi 一样,如果 wifi 是黑 wifi,那你不就啥都被看到了吗?既然我选择连接这个 wifi 就代表我选择尽量相信它或者产生风险我也许能接受。
codehz
2020-06-20 22:25:44 +08:00
不仅如此,恶意软件包还能修改你的 shell 配置直接获得 root 权限(例如在 bashrc 里 alias sudo,替换成恶意的版本)
Oysmart
2020-06-20 22:25:58 +08:00
config 都泄露了,何来安全?
litmxs
2020-06-20 22:28:12 +08:00
生成密钥的时候设置密码。
sky96111
2020-06-20 22:41:33 +08:00
私钥非 root 不可读,ssh config 可以被读虽然不安全,倒也不至于直接被登陆
guog
2020-06-20 22:53:19 +08:00
权限 400
timothyye
2020-06-20 22:53:26 +08:00
密钥可以设置密码
jiangzm
2020-06-20 23:07:44 +08:00
那你就不要用.ssh/config 文件,怕这怕那的。


我猜是你自己想做这个事,一般公开的依赖包不会做这么低级的事。
indev
2020-06-20 23:12:59 +08:00
@timothyye 说得对,麻烦但是安全
shunf4
2020-06-20 23:38:32 +08:00
用 Deno 吧,少年
toaruScar
2020-06-21 01:12:29 +08:00
可以考虑用 ssh 证书登陆。把签名了的密钥的有效期设成 1 天,然后每天重新签发私钥就行了。
patx
2020-06-21 01:38:36 +08:00
@shunf4 我看了 deno 的特性,才问这个问题的 XD
patx
2020-06-21 01:41:03 +08:00
@jiangzm 依赖包只是一个例子,用户安装的任何软件都能读.ssh 目录吧
whitegerry
2020-06-21 02:22:46 +08:00
config 放其他位置,改个名字一样用嘛,ssh -F path/trojan linux
alphatoad
2020-06-21 07:05:10 +08:00
私钥加密码,用你的发行版的密码管理器管理,可以无感
yanqiyu
2020-06-21 07:30:01 +08:00
当然,用户自己凭本事安装的程序系统只能信任了。所以要保证软件来源可控。
真要被恶意程序感染,恶意程序还能偷走 chrome 的保存的密码,这才叫灾难(
ClericPy
2020-06-21 10:16:18 +08:00
没有绝对的安全, 跳板机, LDAP 登录, 动态口令, 各种东西都敌不过一行代码漏洞
expy
2020-06-21 11:42:08 +08:00
直接行恶意程序,当前账户有权限的文件都暴露了。
codehz
2020-06-21 13:16:38 +08:00
@sky96111 #5 是非当前用户不可读(不然 ssh 怎么读到的私钥),所以如果开发机上用同一个用户跑恶意程序还是能被偷走的
dorentus
2020-06-21 17:14:32 +08:00
私钥加密码,或者放硬件模块中(比如 yubikey )

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/683381

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX