나는 수년 동안 Linux 데스크탑을 사용해왔지만 네트워킹 측면에 대해서는 거의 다루지 않았습니다. 개인 파일 서버(주로 Ubuntu 14.04에서는 owncloud)를 실행하고 SSH를 통해 컴퓨터에 정기적인 유지 관리 및 로그 확인을 수행합니다. 저는 가끔 편의상 데스크탑에서 파일 서버로 SSH 연결을 여는 경우가 있습니다.
내 질문은 두 가지입니다.
SSH 연결을 영구적으로 열어두면 보안 위험이 {무엇입니까}/{있습니다}?
{무엇입니까}/{그것이 있습니까} 실질적인 영향을 미치나요? 즉, 네트워크 사용량 등...
나는 트래픽 관점에서 연결을 유지하기 위해 때때로 "연결 유지" 패킷이 있다는 것을 알고 있지만 그 외에는 많은 오버헤드가 있을 것으로 예상하지 않습니다. 옳은?
답변1
SSH 연결을 영구적으로 열어두면 보안 위험이 {무엇입니까}/{있습니다}?
세션 키는 주기적으로 재협상되므로 기밀성 문제가 많지 않습니다. RekeyLimit우려되는 경우 (이 지시문의 두 번째 매개변수)를 사용하여 재협상 사이의 시간을 구성할 수 있습니다.
Shadowbq에서 알 수 있듯이 보안 문제는 기본적으로 다른 원격 제어 클라이언트를 영구적으로 실행하는 것과 동일합니다. 이는 워크스테이션의 물리적 보안에 따라 내부 네트워크의 공격 표면이 증가할 수 있음을 의미합니다.
{무엇입니까}/{그것이 있습니까} 실질적인 영향을 미치나요? 즉, 네트워크 사용량 등...
0 옆. 서버와 클라이언트는 때때로 세션 키를 재생성하지만, 그렇지 않은 경우 일반 SSH 수준 및 TCP 수준 Keepalive만 보냅니다. 그러나 우리는 30분 안에 몇 킬로바이트의 네트워크 패킷에 대해 이야기하고 있습니다.
답변2
이러한 상황에서 설정된 연결을 유지하면 보안 위협이 발생합니다.
- 역방향 터널/전달 포트는 회사 방화벽 네트워크 제한 사항을 손상시킵니다.
- 세션의 데이터 전송 속도를 모니터링할 수 있지만 SSL VPN 연결에만 해당됩니다.
- 다른 서비스가 손상되어 대상 서버로 리디렉션될 수 있습니다(예: 외부 웹 서버 호스팅, tmux 연결 등).
- 컴퓨터, 키보드 또는 원격 KVM 기능의 물리적 보안.
- 데스크탑의 보조 사용자. (안전하지 않은 TTY 등)
- 보안되지 않은 SSH 개인 ID 키가 있습니다.
SSH 통신 중에 전송되는 Keepalive에는 두 가지 유형이 있습니다. 이들 각각은 조정 가능합니다. 연결 유지를 유지하기 위해 최소한의 트래픽을 보냅니다.