ssh-agent und su (-)

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
smutbert
Moderator
Beiträge: 8315
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

ssh-agent und su (-)

Beitrag von smutbert » 05.04.2021 21:31:12

Hallo allerseits,

ist eigentlich (von der Sicherheit her) irgendetwas dagegen einzuwenden (lokal) (ohne -) zu verwenden, um als root Zugriff auf den bereits als normaler Nutzer laufenden ssh-agent zu haben?
(Bis jetzt habe ich keine Bedenken das zu tun, aber vielleicht übersehe ich ja etwas?)

Benutzeravatar
Blackbox
Beiträge: 4289
Registriert: 17.09.2008 17:01:20
Lizenz eigener Beiträge: GNU Free Documentation License

Re: ssh-agent und su (-)

Beitrag von Blackbox » 08.04.2021 11:04:49

Ich sehe bei

Code: Alles auswählen

su ohne -
lediglich eine funktionelle Einschränkung.
Eigenbau PC: Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Desktop PC: Dell Inspiron 530 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Notebook: TUXEDO BU1406 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Alles Minimalinstallationen und ohne sudo/PA/PW.
Rootserver: Rocky Linux 9.3 - Kernel: 5.14

Freie Software unterstützen, Grundrechte stärken!

Benutzeravatar
smutbert
Moderator
Beiträge: 8315
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Re: ssh-agent und su (-)

Beitrag von smutbert » 08.04.2021 13:09:45

Ja, das ist klar. Es geht mir weniger um das su an sich, als die Nutzung der ssh-agent-Instanz des normalen Benutzers durch root.
Mein Szenario ist, dass ich von einem Debiansystem Backups vom System samt Daten auf einem anderen (unixartigem, welches ist ja egal) System anlege.

Also erstelle ich ssh-Schlüssel, mit denen ich mich lokal als normaler Benutzer per ssh als root auf dem ssh-Server anmelden kann. Damit ich für das Backup auf alle lokale Dateien zugreifen kann, muss ich aber auch lokal root sein, also werde ich lokal mit su zu root, habe Zugriff auf den ssh-Schlüssel des normalen Benutzers und dessen ssh-agent und kann mich so auch als root auf dem ssh-server anmelden, zum Beispiel um ein Backup mit rsync zu machen.

Das scheint mir jetzt besser (eventuell sogar sicherer?) und vor allem auch bequemer als wenn ich die ssh-Schlüssel auf dem lokalen System als root einrichten müsste und entweder auf ssh-agent verzichten oder den auch noch für root konfigurieren müsste, aber vielleicht übersehe ich da ja einen entscheidenden Nachteil?

Antworten