V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
SilentFish
V2EX  ›  信息安全

rsync 通过 SSH 协议传输文件,是否有可能被破解

  •  
  •   SilentFish · 123 天前 · 2390 次点击
    这是一个创建于 123 天前的主题,其中的信息可能已经有所发展或是发生改变。
    本人网络安全小白,请教:
    rsync -e 参数可以指定使用 SSH 协议,那通过这种方式在两台机器之间传输文件夹(局域网内,A -> B ,AB 两台机器都不是可完全信任的,可能装了监控软件)。
    假设没有中间人攻击,是否有可能被破解呢?比如文件名、文件内容被获取?
    第 1 条附言  ·  123 天前
    如果装了监控软件,理论上可以分析每个命令,获取文件名和文件内容。这里不讨论这种情况。更关注的是命令执行过程前后传输链路的安全性。
    15 条回复    2024-04-02 16:14:27 +08:00
    chingyat
        1
    chingyat  
       123 天前   ❤️ 1
    如果装了监控软件,当然能获取文件名和文件内容。
    wheat0r
        2
    wheat0r  
       123 天前   ❤️ 1
    不可信的源向不可信的目的发送信息,你还在乎传输的安全性?
    bao3
        3
    bao3  
       123 天前   ❤️ 1
    我试着理解一下,A/B 不可信任,你在不可信任的机器上使用 ssh 。然后你问有没有安全问题?

    这个我觉得都不需要问了
    SilentFish
        4
    SilentFish  
    OP
       123 天前
    不知道怎么 append ,我补充在这里好了。
    @chingyat 如果装了监控软件,理论上可以分析每个命令,获取文件名和文件内容。这里不讨论这种情况。更关注的是命令执行过程前后传输链路的安全性。
    @wheat0r 纯技术探讨哈。
    @bao3 SSH 密钥是可信的。
    0o0O0o0O0o
        5
    0o0O0o0O0o  
       123 天前 via iPhone
    同意 #2 #3 ,A/B 不可信任的话,一切都是缘木求鱼。
    line
        6
    line  
       123 天前   ❤️ 1
    ssh 命令 提示证书有变更的时候不要无脑忽视 就是安全的.
    laminux29
        7
    laminux29  
       123 天前   ❤️ 1
    SSH 协议要解决的问题是,当 A 与 B 都完全可信,则中间人没办法破解或篡改 A 与 B 的通信数据。

    但你的提问,却是 A 与 B 都不是完全可信。那么这种情况下,中间人直接贴脸,比如把 rsync 都给你改掉了,当然就能破解通信内容甚至篡改内容了,这也是常见的黑客留存手段。
    cnbatch
        8
    cnbatch  
       123 天前   ❤️ 1
    举个夸张点的例子,可能就容易明白多了

    在公司的工作电脑利用 SSH + rsync 往生产环境服务器传错文件,1 分钟后发现大事不好立马恢复回去,但已经造成经济损失,公司想要追责,能不能查出是谁在何时覆盖了什么版本的文件?
    已知工作电脑和生产环境服务器都有监控软件

    答案是:当然可以,监控软件直接就记录在案了呢

    然后,想要把锅推给“传输过程中有可能被破解了,有可能以前传文件的时候被人破解了文件名和文件内容,现在再次传输的时候遭到篡改”,想一想就明白不可能:
    1 、只要密钥不泄露,SSH 加密传输本身就没法破解(现阶段的情况下,不谈以后量子计算机时代)
    2 、若真的遭到篡改,比如 SSH 密钥变更,那么监控软件也能记录下来,除非干这事的就是网管本人,或者入侵者顺手删了或篡改了监控日志
    3 、如果真有入侵者,那就说明出现了密钥泄露之类的高危事件,并且泄露的正好就包括了该员工的 credential 。

    显然,就算想推卸责任,该员工仍然逃不过安全检查,其他人也需要进入 security 排查过程,因为这是人为错误,并不是工具本身有安全风险。
    hefish
        9
    hefish  
       122 天前   ❤️ 1
    肯定是有可能被破解的。所以你要是传输特别重要的数据,用 ssh 是远远不够的,要转码成 base64 ,然后打印在纸上,快递过去。
    kneo
        10
    kneo  
       122 天前 via Android
    不用-e 也是 ssh 啊……
    flyingghost
        11
    flyingghost  
       122 天前
    你就先说你有什么是可信的吧。。。
    然后回帖们才或许能帮你设计出一条可信信道来。例如#9 的 @hefish 同学。
    人家真没开玩笑,毕竟你 AB 都不可信了,一切常见的工具、算法、证书、设备都不能用,只能关机下线了。
    julyclyde
        12
    julyclyde  
       121 天前
    @kneo 确实,不用-e 也是 ssh 。但-e 的原始名字其实叫--rsh 的
    hefish
        13
    hefish  
       121 天前
    咬耳朵才可信。
    cyningxu
        14
    cyningxu  
       121 天前 via Android
    好比寄件方和收件方都不可信,你问用顺丰还是用邮政。。。
    impdx
        15
    impdx  
       112 天前
    rsync 记得有未授权,记得鉴权哈
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   980 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 20:17 · PVG 04:17 · LAX 13:17 · JFK 16:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.