我可以用ssh连接到server1和server2。 是否有可能从服务器2连接到server1而不从我的本地机器与server2的开放会话将我的私钥复制到server2?
是的,当您在本地工作站上运行SSH身份validation代理时,然后启用身份validation代理连接的转发。
这样做并不完全安全。
从手册( man ssh ):
-A启用身份validation代理连接的转发。 这也可以在每个主机的基础上在configuration文件中指定。代理转发应谨慎使用。 能够绕过远程主机(对于代理的UNIX域套接字)的文件权限的用户可以通过转发的连接访问本地代理。 攻击者无法从代理获取密钥材料,但是他们可以对密钥执行操作,使其能够使用加载到代理中的身份进行身份validation。
服务器pipe理员还可以使用sshd_config中的AllowAgentForwarding no选项禁用代理转发。
您可以configurationssh代理和代理转发来执行此操作。
您可以在ssh中使用ProxyJump命令来实现这一点:
$ ssh user1@server1 -J user2@server2
请注意,代理转发不build议您打开一些安全问题。