全局开启 SSH 代理转发有什么缺点

全局开启 SSH 代理转发有什么缺点

我的 SSH 工具 (SecureCRT) 提供了一个配置选项,用于为所有 SSH 会话启用代理转发。这似乎有助于防止在需要时忘记启用它,但我想知道是否有理由不这样做?

答案1

SSH 代理转发图解指南似乎表明你的密钥永远不会离开本地机器代理。

它还指出:

这确实需要在所有目标机器上一次性安装用户的公钥(不是私钥!),但这种安装成本很快就会因增加的生产力而得到补偿。那些使用公钥和代理转发的人很少会回头。

这样做的主要优点和缺点(来自同一页面)

  • 优点:极其方便
  • 缺点:需要在所有目标系统上安装公钥(而非私钥),这在开始时可能不方便,但第一次之后就不是问题了。

赛门铁克页面ssh 代理似乎表明同样的意思,如果您的机器上本地运行有 ssh-agent,则适用以下内容:

代理转发实际上是如何工作的?简而言之,代理在一台机器上运行,每次使用代理转发进行 SSH 时,服务器都会通过 SSH 连接创建一个“隧道”回到代理,以便可用于任何进一步的 SSH 连接。

但是,当您的通信通过另一台主机时,它确实依赖于您隐性地信任中间主机不会泄露有关后续连接的数据。

维基百科状态:

在本地系统上,root 用户的可信度非常重要,因为 root 用户可以直接读取密钥文件等。在远程系统上,如果 ssh-agent 连接被转发,那么 root 用户的可信度也很重要,因为他们可以访问代理套接字 (虽然不是关键)。

相关内容