Ssh-агент - Ssh-agent

ssh-агент
Разработчики)В OpenBSD Проект
Репозиторийgithub.com/ openssh/ openssh-портативный/
Написано вC
Операционная системаUnix, Unix-подобный, Майкрософт Виндоус
ТипКоманда
ЛицензияBSD, ISC, всеобщее достояние
Интернет сайтwww.openssh.com

Безопасная оболочка (SSH) - это протокол, обеспечивающий безопасный удаленный вход на компьютер в сети с помощью криптография с открытым ключом. Клиентские программы SSH (например, ssh от OpenSSH ) обычно выполняются в течение сеанса удаленного входа в систему и настроены для поиска закрытого ключа пользователя в файле в домашнем каталоге пользователя (например, .ssh / id_rsa). Для дополнительной безопасности (например, против злоумышленника, который может прочитать любой файл в локальной файловой системе) обычно хранят закрытый ключ в зашифрованном виде, где ключ шифрования вычисляется из кодовая фраза что пользователь запомнил. Поскольку ввод парольной фразы может быть утомительным, многие пользователи предпочли бы вводить ее только один раз за сеанс локального входа в систему. Наиболее безопасное место для хранения незашифрованного ключа - это программная память, а в Unix-подобных операционных системах память обычно связана с обработать. Обычный клиентский процесс SSH нельзя использовать для хранения незашифрованного ключа, поскольку клиентские процессы SSH длятся только в течение сеанса удаленного входа в систему. Поэтому пользователи запускают программу под названием ssh-агент который работает дольше продолжительности локального сеанса входа в систему, хранит незашифрованные ключи в памяти и взаимодействует с клиентами SSH с помощью Доменный сокет Unix.

Проблемы с безопасностью

ssh-агент создает сокет, а затем проверяет соединения из ssh. Каждый, кто может подключиться к этому сокету, также имеет доступ к ssh-агент. Разрешения устанавливаются как в обычном Linux или Unix система. Когда агент запускается, он создает новый каталог в / tmp с ограниченными разрешениями. Сокет находится в этом каталоге.

Существует процедура, которая может предотвратить вредоносное ПО от использования ssh-агент разъем. Если ssh-add -c опция устанавливается, когда ключи импортируются в ssh-агент, затем агент запрашивает подтверждение у пользователя с помощью программы, указанной SSH_ASKPASS переменная окружения, всякий раз, когда ssh пытается подключиться.

В локальной системе важно, чтобы пользователь root заслуживает доверия, потому что пользователь root может, помимо прочего, просто прочитать файл ключа напрямую. В удаленной системе, если ssh-агент соединение перенаправляется, также важно, чтобы пользователь root на другом конце был надежным, потому что он может получить доступ к сокету агента на удаленном компьютере (но не к ключу, который остается локальным).

Реализации

Есть много разных программ, которые выполняют те же функции, что и OpenSSH ssh-агент, некоторые с очень разными пользовательскими интерфейсами. PuTTY, например, использует графический интерфейс пользователя в его связанном Pageant ssh-agent.

Существуют инструменты, предназначенные для обеспечения функциональности ключевого агента как для симметричных, так и для асимметричных ключей; они обычно предоставляют функции ssh-agent в качестве одного из интерфейсов своих приложений. Примеры включают Брелок GNOME и KWallet.

Некоторые монолитные клиенты SSH включают возможность запоминать парольные фразы SSH между сеансами. Примеры включают: SecureCRT.

Apple macOS

На macOS операционная система, ssh-agent был интегрирован с Леопард, версия 10.5 в 2007 году. Ранее были доступны сторонние реализации ssh-agent с открытым исходным кодом.[1]

Майкрософт Виндоус

OpenSSH клиентские и серверные программы на основе были включены в Windows 10 начиная с версии 1803. Клиент SSH и ключевой агент включены и доступны по умолчанию, а сервер SSH является необязательной функцией Feature-on-Demand.[2][3]

использованная литература

  1. ^ Дрибин, Дэйв (21 августа 2007 г.). «Предупреждение SSHKeychain». Блог Дэйва Дрибина.
  2. ^ https://devblogs.microsoft.com/commandline/windows10v1803/
  3. ^ https://devblogs.microsoft.com/powershell/using-the-openssh-beta-in-windows-10-fall-creators-update-and-windows-server-1709/

внешние ссылки