Door Sysosmaster: SSH doet niet standaard de SSH-AGENT forwarden naar de remote, om dit te doen. moet je dit bewust aanzetten:
Je hebt gelijk, ik heb het onhandig opgeschreven; -A is niet de default (wel potentieel gevaarlijke libraries die de "callback"
exploit mogelijk maken). Dank voor de correctie!
Echter, het zou mij niet verbazen als veel beheerders -A gebruiken, het gaat immers om SSH'en naar "vertrouwde servers".
Beheerders zijn gek op handige trucjes die hun werk vereenvoudigen - in tegenstelling tot preken van securitymensen die hun werk lastiger maken (ook al is dat maar een beetje en met goede redenen - doch in strijd met "we doen dit al jaren zo en het is nog nooit fout gegaan").
Uit [6]:
As a result, several of the team doing ops work had set Host *.matrix.org ForwardAgent: yes in their ssh client configs, thinking “well, what can we trust if not our own servers?”
This was a massive, massive mistake.
Door Sysosmaster: An sich is er niets mis met forwarden van je agent als je weet wat je doet,
Je weet niet wat je doet - in de zin van dat
als een server gecompromitteerd is, je het probleem van kwaad tot erger maakt.
Bij de matrix aanval was een niet volledig gepatchte Jenkins server (die aan internet "hing") gehacked. Daarna, uit [6]:
The attacker put an SSH key on the box, which was unfortunately exposed to the internet via a high-numbered SSH port for ease of admin by remote users, and placed a trap which waited for any user to SSH into the jenkins user, which would then hijack any available forwarded SSH keys to try to add the attacker’s SSH key to root@ on as many other hosts as possible.
Nadat iemand in die val getrapt was:
In this process, we spotted an unrecognised SSH key in /root/.ssh/authorized_keys2 on the Jenkins build server. This was suspicious both due to the key not being in our key DB and the fact the key was stored in the obscure authorized_keys2 file (a legacy location from back when OpenSSH transitioned from SSH1->SSH2). Further inspection showed that 19 hosts in total had the same key present in the same place.
Zo raakt je hele infrastructuur gecompromitteerd.
Door Sysosmaster: toch adviseer ik altijd om gebruik te maken van een JumpHost in plaats van een Agent Forward,
Dat is ook één van de adviezen in [6].