whoami.filippo.io安全指南保护你的SSH公钥不被恶意服务器收集【免费下载链接】whoami.filippo.ioA ssh server that knows who you are. $ ssh whoami.filippo.io项目地址: https://gitcode.com/gh_mirrors/wh/whoami.filippo.io在日常使用SSH连接服务器的过程中你是否意识到自己的公钥可能正在被悄悄收集whoami.filippo.io作为一个特殊的SSH服务器通过实际演示揭示了这一潜在安全风险。本文将详细介绍SSH公钥泄露的原理并提供实用的防护措施帮助你保护敏感的密钥信息。SSH公钥自动发送机制隐藏的安全隐患当你使用SSH客户端连接服务器时客户端会自动向服务器发送所有可用的公钥这一过程通常在用户无感知的情况下完成。whoami.filippo.io的核心功能正是利用这一机制通过分析接收到的公钥来识别用户身份。在项目的核心代码server.go中PublicKeyCallback函数第208行明确展示了服务器如何收集客户端发送的公钥func (s *Server) PublicKeyCallback(conn ssh.ConnMetadata, key ssh.PublicKey) (*ssh.Permissions, error) { s.mu.Lock() si : s.sessionInfo[string(conn.SessionID())] si.User conn.User() si.Keys append(si.Keys, key) s.sessionInfo[string(conn.SessionID())] si s.mu.Unlock() // Never accept a key, or we might not see the next. return nil, errors.New() }这段代码的关键在于服务器会收集所有发送过来的公钥但始终返回验证失败从而触发客户端发送更多公钥直到所有可用密钥都被收集。恶意服务器的潜在威胁恶意服务器收集SSH公钥可能导致多种安全风险身份识别通过公钥匹配GitHub等平台的用户信息如whoami.filippo.io就会尝试将收集到的公钥与GitHub用户关联密钥指纹跟踪即使无法直接获取密钥内容公钥指纹也可用于长期跟踪用户的设备和连接习惯针对性攻击收集到的公钥信息可能被用于设计更精准的社会工程学攻击whoami.filippo.io在检测到某些不安全配置时会发出警告例如SSH代理转发开启的情况***** WARNING ***** WARNING ***** You have SSH agent forwarding turned (universally?) on. That is a VERY BAD idea. For example, right now this server has access to your agent and can use your keys however it likes as long as you are connected. ANY SERVER YOU LOG IN TO AND ANYONE WITH ROOT ON THOSE SERVERS CAN LOGIN AS YOU ANYWHERE.保护SSH公钥的终极防护策略1. 配置SSH客户端仅发送指定密钥最有效的防护措施是在SSH配置中明确指定每个主机使用的密钥避免客户端自动发送所有公钥。编辑~/.ssh/config文件为每个主机添加如下配置Host example.com IdentityFile ~/.ssh/id_ed25519_example IdentitiesOnly yesIdentitiesOnly yes选项确保客户端仅使用指定的密钥而不是尝试所有可用密钥。2. 禁用不必要的SSH功能检查并禁用可能带来风险的SSH功能代理转发确保ForwardAgent no默认设置X11转发设置ForwardX11 no默认设置漫游功能添加UseRoaming no以避免潜在漏洞这些设置可以在全局配置或特定主机配置中应用。3. 使用专用密钥和证书为不同的服务和服务器创建专用密钥降低单个密钥泄露的影响。考虑使用SSH证书代替传统密钥通过证书颁发机构集中管理密钥权限。4. 定期审计和轮换密钥建立定期密钥审计机制检查~/.ssh/目录下的所有密钥移除不再使用的旧密钥定期轮换仍在使用的密钥使用ssh-add -l命令检查当前加载的密钥验证防护效果的实用方法要验证你的防护配置是否生效可以连接whoami.filippo.io进行测试git clone https://gitcode.com/gh_mirrors/wh/whoami.filippo.io ssh whoami.filippo.io如果配置正确服务器将无法获取你的所有公钥只会收到你明确指定的密钥如果配置了的话。总结构建安全的SSH使用习惯保护SSH公钥安全不仅仅是技术配置问题更需要养成良好的安全习惯。通过明确指定密钥、禁用不必要功能、使用专用密钥和定期审计你可以显著降低公钥泄露的风险。whoami.filippo.io项目作为一个教育工具揭示了SSH协议中容易被忽视的安全细节。项目的源代码server.go和相关工具如cmd/lookup/main.go密钥查找工具提供了深入了解SSH工作原理的绝佳资源。记住在网络安全领域了解潜在风险是保护自己的第一步。通过本文介绍的方法你可以有效保护SSH公钥不被恶意服务器收集提升整体的网络安全防护水平。【免费下载链接】whoami.filippo.ioA ssh server that knows who you are. $ ssh whoami.filippo.io项目地址: https://gitcode.com/gh_mirrors/wh/whoami.filippo.io创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考