Padroneggia strumenti e best practice DevOps - DevOps Knowledge Hub Padroneggia strumenti e best practice DevOps - DevOps Knowledge Hub

Padroneggiare SSH Agent e Agent Forwarding per un'autenticazione senza interruzioni

Usa ssh-agent e agent forwarding in modo sicuro per chiavi con passphrase, host di salto e flussi di lavoro SSH multi-hop.

Padroneggiare SSH Agent e Agent Forwarding per un'Autenticazione Senza Soluzione di Continuità

L'autenticazione tramite chiave Secure Shell (SSH) è più sicura delle password riutilizzabili, ma le passphrase possono rallentarti quando ti connetti a molti host. ssh-agent risolve questo problema mantenendo le chiavi sbloccate disponibili per la tua sessione di login corrente, e l'agent forwarding ti permette di usare quelle chiavi locali attraverso un host di salto fidato. Usato con attenzione, questo ti offre un accesso SSH più fluido senza copiare chiavi private sui server.

Comprendere l'SSH Agent

L'ssh-agent è un programma in background che conserva in modo sicuro le tue chiavi SSH private in memoria, decriptate e pronte per l'uso. Invece di richiederti di inserire la passphrase ogni volta che ti connetti a un server remoto, la inserisci solo una volta quando aggiungi la chiave all'agente. Questo migliora significativamente l'efficienza del flusso di lavoro senza sacrificare la sicurezza fornita dalla protezione tramite passphrase.

Avviare e Gestire l'SSH Agent

Il processo di avvio dell'agente e di rendere il suo socket disponibile alla tua sessione shell è cruciale. Sulla maggior parte dei sistemi Linux e macOS moderni, l'agente viene spesso avviato automaticamente dagli script di inizializzazione del sistema o dal tuo ambiente desktop.

Se devi avviarlo manualmente, usa la seguente sequenza di comandi. Questo assicura che le variabili d'ambiente necessarie (SSH_AUTH_SOCK e SSH_AGENT_PID) siano impostate correttamente per la tua sessione shell corrente:

# Avvia l'agente e restituisci le variabili d'ambiente necessarie
eval "$(ssh-agent -s)"

Aggiungere Chiavi all'Agente

Una volta che l'agente è in esecuzione, usi il comando ssh-add per caricare le tue chiavi private nella sua memoria. Se la tua chiave è protetta da una passphrase, ti verrà chiesto di inserirla ora.

Esempio: aggiungere una chiave predefinita

ssh-add
# Inserisci la passphrase quando richiesto
# Identità aggiunta: /home/user/.ssh/id_ed25519 (user@localbox)

Esempio: aggiungere un file di chiave specifico

ssh-add ~/.ssh/my_project_key

Verificare le Chiavi Caricate

Puoi controllare quali chiavi l'agente sta attualmente gestendo usando il flag -l:

ssh-add -l
# Esempio di output:
2048 SHA256:abcdef1234567890... user@localbox (RSA)

Usa passphrase sulle chiavi private. L'agente ti salva da richieste ripetute durante la sessione; non rende una chiave privata non protetta più sicura sul disco.

Demistificare l'SSH Agent Forwarding

L'agent forwarding è una potente funzionalità che ti permette di usare le chiavi caricate nel tuo ssh-agent locale per autenticarti su un secondo host remoto a cui ti connetti dal primo host remoto.

Questo è utile per flussi di lavoro multi-hop, come connettersi dal tuo laptop a un host bastione, poi da quell'host bastione a un server interno.

Come Funziona l'Agent Forwarding

Quando ti connetti all'Host A con l'agent forwarding abilitato, SSH crea un socket di dominio UNIX speciale sull'Host A. Questo socket funge da proxy. Quando provi a fare SSH dall'Host A all'Host B di destinazione, il client SSH dell'Host A inoltra la richiesta di autenticazione attraverso questo socket proxy al ssh-agent in esecuzione sulla tua macchina locale. L'agente gestisce la sfida crittografica usando la tua chiave privata memorizzata e invia il segnale di successo, completando l'autenticazione all'Host B.

La tua chiave privata non lascia la tua macchina locale. L'host remoto riceve accesso a un socket agente temporaneo, non al file della chiave stesso.

Abilitare l'Agent Forwarding

Per abilitare l'agent forwarding quando ti connetti a un host remoto, usa il flag -A con il comando ssh:

ssh -A user@bastion-host

Puoi anche configurarlo per un host fidato in ~/.ssh/config:

Host bastion-host
    Hostname 192.168.1.100
    User myuser
    ForwardAgent yes

Testare l'Agent Forwarding

Dopo esserti connesso con successo all'host bastione con il forwarding abilitato, verifica se il socket dell'agente è disponibile sulla macchina remota. Puoi controllare la presenza della variabile d'ambiente SSH_AUTH_SOCK o usare ssh-add -l sulla macchina remota:

Sull'Host Bastione:

# Controlla se le chiavi sono state inoltrate (l'agente in esecuzione localmente dovrebbe rispondere)
ssh-add -l
# Se ha successo, vedrai le chiavi gestite dal tuo agente LOCALE.

Ora, puoi fare SSH dall'host bastione all'Host di Destinazione interno usando l'autenticazione tramite chiave, senza mai avere il file della chiave privata presente sull'host bastione:

Sull'Host Bastione:

ssh user@target-host
# L'autenticazione avviene senza soluzione di continuità usando la tua chiave locale tramite il socket dell'agente inoltrato.

Considerazioni sulla Sicurezza

L'agent forwarding è comodo, ma cambia il tuo profilo di rischio.

Quando il forwarding è attivo su un host remoto, un utente con accesso root su quell'host può solitamente accedere al tuo socket agente inoltrato mentre la tua sessione SSH è aperta. Non possono leggere la tua chiave privata dall'agente, ma potrebbero essere in grado di chiedere all'agente di firmare sfide di autenticazione per altri server a cui puoi accedere.

Strategie di Mitigazione

  1. Lascia il forwarding disabilitato per impostazione predefinita: Usa -A solo quando ne hai bisogno per un'attività multi-hop specifica.
  2. Limita il forwarding in ~/.ssh/config: Abilita il forwarding solo per server di salto fidati.
    Host trusted-jump
    ForwardAgent yes
Host untrusted-server
    ForwardAgent no
  3. Richiedi conferma per chiavi sensibili: ssh-add -c ~/.ssh/keyname chiede conferma prima che l'agente usi quella chiave. Questo aiuta quando un agente inoltrato è esposto a un host che amministri ma di cui non ti fidi completamente.
  4. Preferisci ProxyJump quando il forwarding non è necessario: Se il tuo obiettivo è solo raggiungere un host privato attraverso un bastione, ssh -J user@bastion user@target spesso evita di inoltrare l'agente al bastione.

Gestire il Ciclo di Vita dell'Agente

È buona pratica gestire il ciclo di vita del tuo agente, specialmente quando fatto manualmente. Quando chiudi la sessione del terminale, l'agente potrebbe continuare a funzionare in background, consumando risorse e potenzialmente lasciando il socket attivo.

Rimuovere le Chiavi

Per rimuovere una chiave specifica dalla memoria dell'agente:

ssh-add -d ~/.ssh/my_project_key

Per rimuovere tutte le chiavi dall'agente:

ssh-add -D

Fermare l'Agente

Per terminare il processo dell'agente e cancellare tutte le chiavi caricate dalla memoria:

ssh-agent -k

Questo stampa comandi shell per annullare l'impostazione delle variabili d'ambiente correlate e uccidere il processo dell'agente. Se hai avviato l'agente con eval "$(ssh-agent -s)", esegui eval "$(ssh-agent -k)" per applicare quella pulizia alla tua shell corrente.

Punto Chiave

Usa ssh-agent per la gestione quotidiana delle chiavi, e riserva l'agent forwarding per host di salto fidati dove ne hai veramente bisogno. Per accesso semplice a un bastione, prova prima ProxyJump; per agenti inoltrati, mantieni le sessioni brevi e rimuovi le chiavi che non ti servono più con ssh-add -d o ssh-add -D.