Domine Ferramentas e Melhores Práticas de DevOps - Hub de Conhecimento DevOps Domine Ferramentas e Melhores Práticas de DevOps - Hub de Conhecimento DevOps

Dominando o Agente SSH e o Encaminhamento de Agente para Autenticação Contínua

Use o ssh-agent e o encaminhamento de agente com segurança para chaves com frase secreta, hosts de salto e fluxos de trabalho SSH de múltiplos saltos.

Dominando o SSH Agent e o Encaminhamento de Agente para Autenticação Sem Interrupções

A autenticação por chave Secure Shell (SSH) é mais segura do que senhas reutilizáveis, mas as frases secretas podem atrasar você ao conectar-se a muitos hosts. O ssh-agent resolve esse problema mantendo chaves descriptografadas disponíveis para sua sessão de login atual, e o encaminhamento de agente permite que você use essas chaves locais através de um host de salto confiável. Usado com cuidado, isso proporciona um acesso SSH mais suave sem copiar chaves privadas para servidores.

Entendendo o SSH Agent

O ssh-agent é um programa em segundo plano que mantém suas chaves SSH privadas na memória de forma segura, descriptografadas e prontas para uso. Em vez de exigir que você digite sua frase secreta toda vez que se conectar a um servidor remoto, você a digita apenas uma vez ao adicionar a chave ao agente. Isso melhora significativamente a eficiência do fluxo de trabalho sem sacrificar a segurança fornecida pela proteção por frase secreta.

Iniciando e Gerenciando o SSH Agent

O processo de iniciar o agente e disponibilizar seu soquete para sua sessão de shell é crucial. Na maioria dos sistemas Linux e macOS modernos, o agente é frequentemente iniciado automaticamente pelos scripts de inicialização do sistema ou pelo seu ambiente de desktop.

Se precisar iniciá-lo manualmente, use a seguinte sequência de comandos. Isso garante que as variáveis de ambiente necessárias (SSH_AUTH_SOCK e SSH_AGENT_PID) sejam configuradas corretamente para sua sessão de shell atual:

# Inicia o agente e exibe as variáveis de ambiente necessárias
eval "$(ssh-agent -s)"

Adicionando Chaves ao Agente

Assim que o agente estiver em execução, use o comando ssh-add para carregar suas chaves privadas na memória. Se sua chave for protegida por uma frase secreta, você será solicitado a digitá-la agora.

Exemplo: adicionando uma chave padrão

ssh-add
# Digite a frase secreta quando solicitado
# Identidade adicionada: /home/usuario/.ssh/id_ed25519 (usuario@localbox)

Exemplo: adicionando um arquivo de chave específico

ssh-add ~/.ssh/minha_chave_projeto

Verificando Chaves Carregadas

Você pode verificar quais chaves o agente está gerenciando atualmente usando a flag -l:

ssh-add -l
# Exemplo de saída:
2048 SHA256:abcdef1234567890... usuario@localbox (RSA)

Use frases secretas nas chaves privadas. O agente evita que você seja solicitado repetidamente durante a sessão; ele não torna uma chave privada desprotegida mais segura no disco.

Desmistificando o Encaminhamento de Agente SSH

O encaminhamento de agente é um recurso poderoso que permite usar as chaves carregadas no seu ssh-agent local para autenticar em um segundo host remoto ao qual você se conecta a partir do primeiro host remoto.

Isso é útil para fluxos de trabalho de múltiplos saltos, como conectar-se do seu laptop a um host bastião e, em seguida, desse host bastião a um servidor interno.

Como Funciona o Encaminhamento de Agente

Quando você se conecta ao Host A com o encaminhamento de agente ativado, o SSH cria um soquete de domínio UNIX especial no Host A. Esse soquete atua como um proxy. Quando você tenta fazer SSH do Host A para o Host B de destino, o cliente SSH do Host A encaminha a solicitação de autenticação através desse soquete proxy de volta para o ssh-agent em execução na sua máquina local. O agente lida com o desafio criptográfico usando sua chave privada armazenada e envia o sinal de sucesso de volta, completando a autenticação para o Host B.

Sua chave privada não sai da sua máquina local. O host remoto recebe acesso a um soquete de agente temporário, não ao arquivo de chave em si.

Ativando o Encaminhamento de Agente

Para ativar o encaminhamento de agente ao conectar-se a um host remoto, use a flag -A com o comando ssh:

ssh -A usuario@host-bastiao

Você também pode configurá-lo para um host confiável em ~/.ssh/config:

Host host-bastiao
    Hostname 192.168.1.100
    User meusuario
    ForwardAgent yes

Testando o Encaminhamento de Agente

Após conectar-se com sucesso ao host bastião com o encaminhamento ativado, teste se o soquete do agente está disponível na máquina remota. Você pode verificar a presença da variável de ambiente SSH_AUTH_SOCK ou usar ssh-add -l na máquina remota:

No Host Bastião:

# Verifique se as chaves foram encaminhadas (o agente em execução localmente deve responder)
ssh-add -l
# Se bem-sucedido, você verá as chaves gerenciadas pelo seu agente LOCAL.

Agora, você pode fazer SSH do host bastião para o Host de destino interno usando autenticação por chave, sem nunca ter o arquivo de chave privada presente no host bastião:

No Host Bastião:

ssh usuario@host-destino
# A autenticação ocorre perfeitamente usando sua chave local através do soquete do agente encaminhado.

Considerações de Segurança

O encaminhamento de agente é conveniente, mas altera seu perfil de risco.

Quando o encaminhamento está ativo em um host remoto, um usuário com acesso root nesse host pode geralmente acessar seu soquete de agente encaminhado enquanto sua sessão SSH estiver aberta. Eles não podem ler sua chave privada do agente, mas podem ser capazes de pedir ao agente para assinar desafios de autenticação para outros servidores aos quais você pode acessar.

Estratégias de Mitigação

  1. Mantenha o encaminhamento desativado por padrão: Use -A apenas quando precisar para uma tarefa específica de múltiplos saltos.
  2. Limite o encaminhamento em ~/.ssh/config: Ative o encaminhamento apenas para servidores de salto confiáveis.
    Host salto-confiável
    ForwardAgent yes
Host servidor-nao-confiável
    ForwardAgent no
  3. Exija confirmação para chaves sensíveis: ssh-add -c ~/.ssh/nomechave pede confirmação antes que o agente use essa chave. Isso ajuda quando um agente encaminhado é exposto a um host que você administra, mas não confia totalmente.
  4. Prefira ProxyJump quando o encaminhamento não for necessário: Se seu objetivo é apenas alcançar um host privado através de um bastião, ssh -J usuario@bastiao usuario@destino muitas vezes evita encaminhar o agente para o bastião.

Gerenciando o Ciclo de Vida do Agente

É uma boa prática gerenciar o ciclo de vida do seu agente, especialmente quando feito manualmente. Quando você fecha sua sessão de terminal, o agente pode continuar em execução em segundo plano, consumindo recursos e potencialmente deixando o soquete ativo.

Removendo Chaves

Para remover uma chave específica da memória do agente:

ssh-add -d ~/.ssh/minha_chave_projeto

Para remover todas as chaves do agente:

ssh-add -D

Parando o Agente

Para encerrar o processo do agente e limpar todas as chaves carregadas da memória:

ssh-agent -k

Isso exibe comandos de shell para desconfigurar as variáveis de ambiente relacionadas e encerrar o processo do agente. Se você iniciou o agente com eval "$(ssh-agent -s)", execute eval "$(ssh-agent -k)" para aplicar essa limpeza ao seu shell atual.

Conclusão Principal

Use ssh-agent para o manuseio diário de chaves e reserve o encaminhamento de agente para hosts de salto confiáveis onde você realmente precise. Para acesso simples a bastiões, tente ProxyJump primeiro; para agentes encaminhados, mantenha as sessões curtas e remova chaves que não precisa mais com ssh-add -d ou ssh-add -D.