永続的なSSH接続のセキュリティと実質的な影響

永続的なSSH接続のセキュリティと実質的な影響

私は長年Linuxデスクトップを使用してきましたが、ネットワーキングの側面についてはほとんど扱っていませんでした。プライベートファイルサーバー(主にUbuntu 14.04ではowncloud)を実行し、SSHを介してコンピュータに定期的なメンテナンスとログチェックを実行します。私は、便宜上、デスクトップからファイルサーバーへのSSH接続を開くことがあります。

私の質問は2つあります。

  1. SSH接続を永久に開いたままにすると、セキュリティ上のリスクは{何ですか}/{あります}?

  2. {何ですか}/{それはありますか} 実質的な影響はありますか?つまり、ネットワーク使用量など...

    私は時々トラフィックの観点から接続を維持するために「接続を維持する」パケットがあることを知っていますが、それ以外には多くのオーバーヘッドがあるとは思いません。正しいですか?

答え1

SSH接続を永久に開いたままにすると、セキュリティ上のリスクは{何ですか}/{あります}?

セッションキーは定期的に再ネゴシエートされるため、機密性の問題はあまりありません。RekeyLimit懸念がある場合(このディレクティブの2番目のパラメータ)を使用して、再ネゴシエーション間の時間を設定できます。

Shadowbqが示すように、セキュリティの問題は基本的に他のリモートコントロールクライアントを永久に実行するのと同じです。これは、ワークステーションの物理的なセキュリティによって内部ネットワークの攻撃面が増加する可能性があることを意味します。

{何ですか}/{それはありますか} 実質的な影響はありますか?つまり、ネットワーク使用量など...

0の隣。サーバーとクライアントは時々セッションキーを再生成しますが、そうでない場合は通常のSSHレベルとTCPレベルのキープアライブのみを送信します。しかし、私たちは30分以内に数キロバイトのネットワークパケットについて話しています。

答え2

  1. このような状況で確立された接続を維持すると、セキュリティ上の脅威が発生します。

    • リバーストンネル/転送ポートは、会社のファイアウォールネットワークの制限を損ないます。
    • セッションのデータ転送速度を監視できますが、SSL VPN接続にのみ適用されます。
    • 他のサービスが破損してターゲットサーバーにリダイレクトされる可能性があります(外部Webサーバーホスティング、tmux接続など)。
    • コンピュータ、キーボード、またはリモートKVM機能の物理的なセキュリティ。
    • デスクトップの補助ユーザー。 (安全でないTTYなど)
    • 安全でない SSH プライベート ID キーがあります。
  2. SSH通信中に送信されるKeepaliveには2種類あります。これらはそれぞれ調整可能です。接続を維持するために最小限のトラフィックを送信します。

関連情報