熟悉ssh的同学应该都知道.ssh目录，这个目录用来保存ssh一些客户端一些ssh配置、公钥，公钥认证的文件。~/.ssh的是一个非常重要的目录,也是安全隐患点，处理不好该目录安全设置，对导致严重安全问题，让主机被轻而易举的被人黑掉。据虫虫所知，一些木马、自动挖矿脚本就借助该目录信息自动扩散传播。本文就给大家介绍~/.ssh/的安全性。

.ssh目录介绍

目录~/.ssh/是用来存储SSH客户端和服务器一些配置文件的位置，这些文件包括：

authorized_keys，SSH服务器默认的公钥认证文件，服务器通过该文件配置可以使用该用户认证的用户证书。SSH证书认证就是客户端生成证书（私钥和公钥对），将公钥复制到该文件，每行一个证书。复制公钥时候可以使用ssh-copy-id命令或者直接手动配置authorized_keys文件即可。

id_*，包括id_rsa，id_dsa，id_ed25519,id_ecdsa等是保存在该用户下的证书私钥，用户通过SSH证书认证时候会自动搜索这些私钥进行认证。

id_*.pub 上述私钥对应的公钥，以.pub为后缀。

known_hosts 保存该主机连接过的远程服务器及其对应的主机公钥（用来对主机认证），再次连接到远程服务器如果公钥相同，则直接连接认证。如果没有，或者远程服务器有变化，会提示:

需要输入yes，确认才行。

config 文件用来配置本地ssh连接的一些项目，比如配置主机别名的，可以解决同一主机或者多台主机使用多个证书，就可以用config配置，比如下面的配置：

Host github.com

HostName github.com

User git

IdentityFile ~/.ssh/git/github_id_rsa

Host gitee.com

HostName gitee.com

User git

IdentityFile ~/.ssh/git/gitee_id_rsa

Host chongchong.com

HostName 112.34.6.71

Port 2222

User chongchong

IdentityFile ~/.ssh/id_ecdsa

ForwardX11 yes

Compression yes

TCPKeepAlive yes

前两个Host配置对github和马云使用不同的证书，后面一个Host对一台主机配置使用非默认的ssh端口、非默认当前用户以及一些启用一些ssh配置项目。关于ssh config的配置虫虫之前的文章《linux SSH实用技巧几则》做过介绍，大家可以参考。

.ssh目录安全性问题

主要的安全隐患，还是由于对.ssh目录的安全性认识不够或者由于管理疏忽，导致该目录的权限设置有问题。或者将目录暴露在Web目录或者git公开仓库。比如有些Web服务器中的www用户可以直接访问该目录。由于直接将用户目录设置成了Web根目录，而.ssh目录又是用户目录的子目录所以可以直接访问。

现在，绝大多数的管理员和开发都知道使用密码登陆服务是不安全的，因此都会用证书登陆。如果。ssh目录泄露意味着：

可以直接获得/.ssh/id_rsa等私钥；

可以直接知道authorized_keys、known_hosts和config的内容。

证书泄露

id_*文件是最重要级别的个人文件，该文件不允许泄露给第三人，根据不同的证书类型，私钥文件名可能为了id_dsa（DSA证书已经不是安全，请避免使用），id_rsa(RSA证书，请保证2048位以上)，id_ecdsa和id_ed25519，一般来说私钥文件都会PRIVATE KEY的注释行，比如:

为了避免证书泄露后也能保持安全，建议私钥都设置证书密码:

以下密钥没有密码，ssh-keygen -y -f id_ecdsa可以直接显示公钥

ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBBmGXiNwudm3JaGNVERkl013/9OQVR0tfgvcmapONuecVl4EXNE4w0VyZA1ZD2s3hj02x/Y294IwfhExiaDhTyY=

如果设置密码保护,则会提示输入密码：

Enter passphrase:

ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBBmGXiNwudm3JaGNVERkl013/9OQVR0tfgvcmapONuecVl4EXNE4w0VyZA1ZD2s3hj02x/Y294IwfhExiaDhTyY=

authorized_keys泄露

就算是私钥泄露来，如果没有其他信息，黑客也不知道私钥能用来连接到哪里，这就是为啥要把关键主机、一般主机以及用于管理git的证书都分别独立使用的，防止私钥泄露后导致的问题。但是黑客可以借助.ssh目录下的其他文件来获取更多的信息来精准的利用窃取的私钥。其中有个文件authorized_keys，前面我提到了，是用来配置可以连接到该主机用户下的所有的证书公钥。文件一行一个公钥，公钥以ssh-rsa，ssh-dss，ssh-ed25519，ssh-ecdsa开头，表示不同的证书类型。如果黑客获取了这些密钥，可以通过对比证书方式，验证对应私钥，然后可以利用私钥最终攻陷主机。如果攻击者成功，将会有完整SSH访问权限，能够运行任何命令。

known_hosts泄露

如果〜/.ssh /known_hosts泄露，则导致的危险性更大，因为该文件记录了，该主机私钥可以连接的远程主机列表。

根据该文件中的主机名或IP地址，可以直接被用来私钥来尝试登陆。很多木马传播方式就是利用自动解析该文件获取IP或者主机自动尝试登陆。

上面是一个挖矿木马自动传播部分脚本，从known_hosts获取传播目标：

cat /root/.ssh/known_hosts|grep -v ,|awk '{print $1}' > /tmp/.h

cat /root/.ssh/known_hosts|grep ,|awk -F, '{print $1}' >> /tmp/.h

cat /root/.ssh/known_hosts|grep ,|awk -F, '{print $1}' >> /tmp/.h

为了避免这种攻击，可以设置ssh配置(/etc/ssh/ssh_config)的HashKnownHosts 为yes，则会对相关信息做哈希处理。则该文件条目就会被加密，结果如下：

|1|wlPQdgFoYgYsqG6ae20lYopRLPI=|p61txQKmb+Hn49dsD+v0CNuEKd4= ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAzhZmG33G/3FG3vm0eDdyX1u++i0ceakIkJNgDxVVy6MpodRrpwqXXQj8/OGT

Iwb4YpRXGuL3236IkGugI9GUgFd00UNjMSMt3pqob4hKsEzADl7YfZeV1X7X0b617nze0otdO7TwDMlQ/5KWUwdUoxg50VfpieTzcOpUN/G4J159iKZ41iSF7o4vI+fYisX8y5rJ1BRbt1HO0Gi7w9HZ8tN0B

0glM6JKyoE8TjvbZAeD9PWIWp9JpG1KTY4yXTV1B1CyvtxjRqTMm8mcb+gSGGvv6mSlWCNxJnlXhp91F2GtmgzKsE3FjcMUfkn3c0+P0bKaR8L3GtbyaXJmtDX4xQ==

其中第二部分wlPQdgFoYgYsqG6ae20lYopRLPI=为hostname加密。

第三部分p61txQKmb+Hn49dsD+v0CNuEKd4=为加密的IP地址。

加密的方法是Hmac-SHA1，而且我们知道IP地址是有限的：四段，每段1-255（2^32）可以群举，所以可以通过暴力攻击，计算哈希，对比哈希。有兴趣的同学可以尝试下。

config泄露

SSH客户端的配置文件通常包含hostname,别名，用户名，ssh端口，证书位置等信息。如果该文件暴露，可为攻击者提供更多信息，其危害类似known_hosts。

安全措施

要避免由于.ssh目录导致的安全问题，首先要设置目录和文件的权限。比如.ssh目录要设置为700,所有私钥文件和config文件要设置为600。

其次，避免将.ssh目录暴露到Web目录。

使用代理转发或ProxyJump。

在Web服务器的配置中添加特殊规则，阻止对/.ssh/目录的访问。

最后，避免.ssh配置文件，证书文件暴露到git公共仓库（github）等。