在使用pam_ssh_agent_auth时，我应该注意什么？

Question

我厌倦了为我的SSH登录记住密码，并且听说了pam_ssh_agent_auth。不幸的是，我没有找到对它的任何安全审计，我也不知道关于SSH的足够低级别的细节来评估这6K行C代码的安全性。

在生产机器上使用pam_ssh_agent_auth是否安全？如果是这样的话，我在设置它时应该注意什么呢？我想到的一件事是禁用SSH代理转发。

Answer 1

我们把它运到Fedora和RHEL使用。它已经存在很长一段时间了，它使用来自openssh的代码来执行几乎所有的公钥操作( openssh正在使用openssl)。代码是相当公平的。

pam_ssh_agent_auth本身基本上只验证公钥是否匹配，以及ssh-agent提供的签名是否有效。所有的私钥操作仍然留在您的ssh-agent上。

从这个问题中还不清楚确切的用例是什么，但是从我的POV来看，这方面最强大的功能是在本地机器上有一个代理登录到所有服务器并允许sudo操作(或者为这个模块使用单独的密钥)。它暴露了一点“单一故障点”(如果您丢失了未加密的密钥，这将是一个问题，但这个模块不会公开它)。

您可能应该禁用不受信任主机的ssh代理转发(或者默认情况下并白名单您的受信任主机)，还可以添加带有-c开关的密钥以确认PK操作或某些超时(-t使其过期)。