我使用linux桌面很多年了,但很少深入了解它的网络方面。我运行一个个人文件服务器(主要在 Ubuntu 14.04 上运行 owncloud),并通过 ssh 连接到机器来执行定期维护和日志检查。我发现自己时常会打开从桌面到文件服务器的 ssh 连接,只是出于方便。
我的问题有两个:
{什么是}/{有}保持 ssh 连接永久打开的安全隐患吗?
{什么是}/{有}实用性影响吗?即网络使用情况等...
我意识到,从流量的角度来看,偶尔会有一个“保持活动”数据包来维持连接,但除此之外,我预计不会有太多开销。正确的?
答案1
{什么是}/{有}保持 ssh 连接永久打开的安全隐患吗?
会话密钥会定期重新协商,因此不存在太多机密性问题。RekeyLimit如果您担心的话,您可以使用(该指令的第二个参数)配置重新协商之间的时间。
正如 Shadowbq 所暗示的那样,安全问题基本上与永久运行任何其他远程控制客户端相同。这意味着它可能会以取决于工作站物理安全的方式增加内部网络的攻击面。
{什么是}/{有}实用性影响吗?即网络使用情况等...
紧邻零。服务器和客户端偶尔会重新生成会话密钥,但除此之外,只是发送正常的 SSH 级别和 TCP 级别的 keepalive。不过,我们讨论的可能是半小时内几 KB 的网络数据包。
答案2
在这些情况下保持已建立的连接会造成安全威胁
- 您的反向隧道/转发端口会损害企业防火墙网络限制。
- 可以监控您的会话的数据传输速率,但仅限于 SSL VPN 连接
- 您的其他服务可能会受到损害,导致转向目标服务器(即托管外部 Web 服务器、tmux 连接等)
- 计算机、键盘或远程 KVM 功能的物理安全。
- 桌面上的次要用户。(不安全的 TTY 等)
- 拥有不安全的 SSH 私有身份密钥。
SSH 通信期间发送的保活有两种类型。其中每一个都是可调的。发送最少的流量来维持保持活动。