Nic Lin's Blog

喜歡在地上打滾的 Rails Developer

淺談 SSH agent forwarding 和 proxy command 的安全風險與應用

如何使用 agent forwarding

SSH agent forwarding 可以讓我們透過跳板機連上另一台伺服器時,省去把私鑰複製上 server 或是需要輸入密碼的功夫。

通常可以使用 ssh -A 來做轉發

將要 forwarding 的 key 加到清單之中

ssh-add

或是寫在 .ssh/config 之中

Host web-server
  HostName 33.33.33.10
  ForwardAgent yes

常見應用

跳板機

舉例來說,當我們本地機器透過 SSH 連線至跳板機時,接著再從跳板機 到 web-server 這段,會直接使用本地的 SSH Key

Local ---(SSH)---> 跳版機 ---(SSH) web-server

透過 agent forwarding,我們在跳板機到 web-server 這段, web-server 會將 challenge 發送到跳版機,然後跳版機 會在發回到發起請求的本地端,隨後本地端的 ssh-agent 會將解密後的私鑰用來驗證,並完成驗證。

簡單來說,這個連接不管有多長,只要中間都是打開 agent forwarding 就都可以不用輸入密碼,可以一直轉發 local 的 ssh。

然而常見的應用除了上述提到的跳板機架構以外,還有部屬時為了拉 code 也會用到

Git Deployment

舉例來說, web-server 要能夠從 github 上 pull code 下來,那最直覺的作法是在 web-server 上放一份能夠和 github 認證的 ssh key pair。

但是,通常為了不增加安全風險,所以不把私鑰留在機器上,否則就會變成誰能進來機器,就可以有拉 code 的權限。

所以我們也可以在這段做 agent-forwarding,並且基本上能夠部屬的人,也會有 pull code 的權限,所以直接從部署者的 ssh key 進行轉發,讓 code 能夠順利從 github 拉到 server 上完成部署。

方便帶來的安全疑慮

我們在 command line 輸入 man ssh 可以看到

-A  Enables forwarding of the authentication agent connection.  
    This can also bespecified on a per-host basis in a configuration file.
    Agent forwarding should be enabled with caution.  
    Users with the ability to bypass file permissions on the remote host (for the agent's UNIX-domain socket) can access the local agent through the forwarded connection.  
    
    An attacker cannot obtain key material from the agent, however they can perform operations on the keys that enable them to authenticate using the identities loaded into the agent.

agent forwarding 顯然非常方便好用,但需謹慎使用,尤其當大家都對機器有 root 權限時,就更不應該使用,因為這樣可能有垂直越權的風險。

如何垂直越權

可以先找一台 server 用 agent forwarding 方式登入

ssh -A deploy@your_server

輸入 ls -l /tmp | grep "ssh-" 會發現 agent 的 socket 被放到 /tmp 下方

deploy@localhost:~$ ls -l /tmp | grep "ssh-"
drwx------ 2 deploy deploy   4096 Aug  2 01:11 ssh-evnX3i6YmO

所以只要有 root 權限,就可以透過 SSH_AUTH_SOCK 來冒充這個利用 forwarding 的人

export SSH_AUTH_SOCK=/tmp/ssh-evnX3i6YmO/agent.1918

git clone git@github.com:niclin/project.git
# 成功拉下專案

這樣一來,也就是說如果有比我們權限更高的用戶 forwarding,我們就可以透過這樣的機制越權拿到更高權限的東西

類似

  • 利用別人身份訪問自己沒有權限看到的程式碼
  • 冒充他人身份發送 commit
  • 登入本來沒有權限的伺服器,然後進去在 ~/.ssh/authorized_keys 加上我們的 public key,就可以亂登了(通常應該沒人會特別去檢查這隻檔案吧 XD?)

這樣子就是透過 forwarding 垂直越權了

ProxyCommand

我們一樣可以透過 ssh 內的 proxy command 做到代理轉發的需求

不過這邊不同的是,你需要先在這些機器上面做 public key authorized(不做也可以,就是一直輸入密碼XD)

Host jump-server
 	User nic
 	Hostname 117.10.10.1
 
 Host web-server
 	User deploy
 	Hostname 192.168.1.1
 	Port 2222
 	ProxyCommand ssh -q -W %h:%p jump-server

要連到 web-server 會先經過 jump-server,而 proxy command 的作用就是在連到 web-server 之前,先和 jump-server 建立 ssh 連線,並在中間打開一條 TCP/socket 隧道,進行內容轉送

實際過程大致如下

  1. Local 和 jump-server 建立 ssh 連線
  2. 在 jump-server 建立 port 去轉送 command 訊息
  3. jump-server 和 web-server 建立 ssh 連接
  4. 在 web-server 上建立 port 去轉送 command 訊息
  5. 在 web-server 上發起和 jump-server 的 tcp/socket 連線
  6. 將 web-server 的標準輸入轉送給 jump-server 讓 jump-server 和 local ssh 能夠使用

不過看了 hacknews 上面的討論,用 proxy command 會比 agent forwarding 較安全的原因是不容易被偽造,也不像 agent forwarding 會留下蹤跡可以冒充身份

那麼,假設跳版機已經被入侵了,那麼用 proxy command 只是做 tcp 轉發,第二段連接到 web server 那段的數據都是在 local 端上進行加解密,所以基本上從跳板機那台是看不到解密的數據

參考資源

comments powered by Disqus