私は長年Linuxデスクトップを使用してきましたが、ネットワーキングの側面についてはほとんど扱っていませんでした。プライベートファイルサーバー(主にUbuntu 14.04ではowncloud)を実行し、SSHを介してコンピュータに定期的なメンテナンスとログチェックを実行します。私は、便宜上、デスクトップからファイルサーバーへのSSH接続を開くことがあります。
私の質問は2つあります。
SSH接続を永久に開いたままにすると、セキュリティ上のリスクは{何ですか}/{あります}?
{何ですか}/{それはありますか} 実質的な影響はありますか?つまり、ネットワーク使用量など...
私は時々トラフィックの観点から接続を維持するために「接続を維持する」パケットがあることを知っていますが、それ以外には多くのオーバーヘッドがあるとは思いません。正しいですか?
答え1
SSH接続を永久に開いたままにすると、セキュリティ上のリスクは{何ですか}/{あります}?
セッションキーは定期的に再ネゴシエートされるため、機密性の問題はあまりありません。RekeyLimit
懸念がある場合(このディレクティブの2番目のパラメータ)を使用して、再ネゴシエーション間の時間を設定できます。
Shadowbqが示すように、セキュリティの問題は基本的に他のリモートコントロールクライアントを永久に実行するのと同じです。これは、ワークステーションの物理的なセキュリティによって内部ネットワークの攻撃面が増加する可能性があることを意味します。
{何ですか}/{それはありますか} 実質的な影響はありますか?つまり、ネットワーク使用量など...
0の隣。サーバーとクライアントは時々セッションキーを再生成しますが、そうでない場合は通常のSSHレベルとTCPレベルのキープアライブのみを送信します。しかし、私たちは30分以内に数キロバイトのネットワークパケットについて話しています。
答え2
このような状況で確立された接続を維持すると、セキュリティ上の脅威が発生します。
- リバーストンネル/転送ポートは、会社のファイアウォールネットワークの制限を損ないます。
- セッションのデータ転送速度を監視できますが、SSL VPN接続にのみ適用されます。
- 他のサービスが破損してターゲットサーバーにリダイレクトされる可能性があります(外部Webサーバーホスティング、tmux接続など)。
- コンピュータ、キーボード、またはリモートKVM機能の物理的なセキュリティ。
- デスクトップの補助ユーザー。 (安全でないTTYなど)
- 安全でない SSH プライベート ID キーがあります。
SSH通信中に送信されるKeepaliveには2種類あります。これらはそれぞれ調整可能です。接続を維持するために最小限のトラフィックを送信します。