我喜欢用-A选项通过SSH连接服务器的选项,所以我可以在服务器上使用我的私钥。
这使我可以更新git / svn仓库并连接到其他服务器,而无需将私钥上传到服务器。
真棒!
但是它是如何工作的?
我担心的是私钥在服务器上是临时可访问的。 如果服务器被攻破,或者其他用户以某种方式作为根用户login,则可以访问它。
是这样吗?
我查看了/ tmp的内容,其中名为ssh-something的文件夹与名为ssh-something的套接字一起存在。
这让我希望将必要的握手请求传递到本地计算机,并在那里处理/签名,而我的私钥实际上不会离开本地计算机。
是这样吗?
对不起在阅读之前询问…
从man ssh
代理转发应谨慎使用。 能够绕过远程主机(对于代理的UNIX域套接字)的文件权限的用户可以通过转发的连接访问本地代理。 攻击者无法从代理获取密钥材料,但是他们可以对密钥执行操作,使其能够使用加载到代理中的身份进行身份validation。