[sisyphus] Уязвим ли SSH-Agent в спящем режиме?
Paul Wolneykien
manowar на altlinux.org
Пн Янв 18 08:35:15 UTC 2010
16.01.2010 01:02, Dmitry V. Levin пишет:
> On Sat, Jan 16, 2010 at 12:42:46AM +0300, Paul Wolneykien wrote:
>> Всем привет,
>>
>> Насколько я понимаю, пока ssh-agent активен
>> пароль может быть получен путём чтения
>> ОЗУ. Однако это достаточно экзотическая
>> ситуация. Но что происходит, когда образ
>> ОЗУ записывается на диск во время
>> перехода в спящий режим (hibernation)? Скорее
>> всего пароль может быть получен из этого
>> образа.
>> Во избежение этого, gnome-keyring кажется
>> переводится в "закрытый" режим перед
>> переходом в спящий режим.
>
> Интересно, что представляет из себя этот закрытый режим?
Думаю, что это как раз lock with a password.
>
>> А что умеет в этом плане ssh-agent?
>
> Самый безопасный вариант:
> ssh-add -D: Deletes all identities from the agent.
Так может быть слать эту команду всем агентам из hibernate script?
В том смысле, что давайте сделаем это штатным режимом.
>
> Вариант, который в перспективе будет более-менее безопасным:
> ssh-add -x: Lock the agent with a password.
>
> Сейчас этот пароль не используется для зашифровывания памяти,
> однако в перспективе это может измениться:
> http://git.altlinux.org/people/ldv/packages/?p=openssh.git;a=blob;f=openssh/ssh-agent.c#l572
Подробная информация о списке рассылки Sisyphus