ssh 的私钥就放在~/.ssh 下,不是很容易泄露吗,什么软件都能去读,为什么说比密码安全?

2022-08-19 10:48:55 +08:00
 jurassic2long

如题,题主对网络攻防完全外行,只是从日常使用中感觉是这样。

8032 次点击
所在节点    问与答
47 条回复
panzhc
2022-08-20 10:56:25 +08:00
另外,有段时间还给服务器设置了登录通知,也可以记录到数据库,但是通知太多就没怎么看了。
endle
2022-08-21 04:05:26 +08:00
在讨论安全的时候,是要有一些假设的。把私钥存储在 ~/.ssh 下,要假设本机是安全的。

如果你怀疑你当前使用的机器已经被挂了木马或是恶意软件,~/.ssh 被未经你允许的软件读取了,那无论是用密码还是密钥对登录,都是不安全的行为。
julyclyde
2022-08-22 13:41:28 +08:00
能读.ssh 目录的程序,不是以你自己的身份,就是以更高的 root 身份运行的
谁运行谁负责
justaname
2023-01-03 17:29:01 +08:00
@panzhc 感觉强密码就够了吧,让 ssh-agent 记住密码的话也只需要输入一次,普通程序能读取 ssh-agent 的内部信息的话整个安全体系就已经形同虚设了吧
liuidetmks
2024-03-11 19:15:28 +08:00
@justaname 普通程序就是能读取 ssh-agent 啊, 不然 git 是怎么读取的,用 gpt 问了下,直接就能遍历私钥,只是比读取文件稍微多了一些代码

// 遍历私钥
LIBSSH2_AGENT_PUBLICKEY* identity;
while ((identity = libssh2_agent_get_identity(identities, 0)) != NULL) {
// 在这里可以使用 identity 中的信息,如 identity->comment 和 identity->blob
// 例如,你可以打印私钥的注释信息
printf("Private Key Comment: %s\n", identity->comment);
}
dilidilid
161 天前
@liuidetmks
这是 GPT 的回答
Yes — common programs without sudo can read SSH private keys from ssh-agent, but not the private keys themselves — instead, they get access to the ability to sign on your behalf via the agent.
❌ What they cannot do:
• Extract or dump the actual private key.
• Access the agent from another user (unless you explicitly share the agent socket via file permissions — not recommended).

ssh-agent 是不可能直接暴露私钥给普通程序的,程序只能请求 agent 帮它签名从而完成鉴权过程,不然这个机制不成了脱裤子放屁了吗
dilidilid
161 天前
@liuidetmks 看起来你的这个程序只是 print 出来了 identity 里面的 comment ,不是 key 本身呀

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/873915

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX