在使用git从仓库中推送/拉取时使用不安全的ssh代理转发

时间:2018-07-19 12:23:55

标签: git security ssh ssh-keys ssh-agent

情况如下。我有主机(笔记本电脑)。我进入了开发环境HostA。从主机A,我有一个git存储库,可以从Gerrit存储库推/拉。要推/拉,我需要在主机上使用ssh键,因此我将代理转发与ssh -A username@HostA.com一起使用。这将在主机A上创建一个ssh身份验证套接字,我可以使用该套接字对Gerrit进行身份验证。 这样的情况是:

主机->主机A ---> Gerrit

在主机A上,如果我运行git remote show origin,则在终端上看到的输出是:

获取网址:ssh://username@gerrit.subdomain.io:2441038 / manage

推送网址:ssh://username@gerrit.subdomain.io:2441038 / manage

我对某些文章感到担心,这些文章表明使用ssh -A username@HostA.com是不安全的。特别是,它在/ tmp /中公开了$ SSH_AUTH_SOCK $,因此在主机A上具有root用户的任何人都可以使用我的SSH密钥。

我要问的是,如何在不暴露ssh auth套接字在计算机上的情况下,通过git repo继续在主机A上工作?我在网上看到的文章是关于proxycommand和agent转发的,但是我仍然想在主机A上实际工作。除了在git repo上推/拉时,我不想ssh进入gerrit服务器。我不希望在主机A上具有root访问权限的任何人都能够使用我的ssh密钥。

谢谢!

0 个答案:

没有答案