SSH

你正在咖啡馆里用笔记本远程办公，突然需要访问公司内网的一个数据库。这个数据库只监听在服务器的 127.0.0.1:5432 上，没有暴露公网端口，防火墙也严密封锁了直接访问。你该怎么办？ ...

1995年，赫尔辛基理工大学的研究员Tatu Ylönen在学校的网络上发现了一次密码嗅探攻击。当时的远程登录协议——Telnet、rlogin、rsh——都是明文传输，攻击者可以轻易截获所有凭据。这次事件催生了SSH协议。 ...

title: “SSH密钥认证的隐形危机：为何你的私钥可能正在成为攻击者的通行证” date: “2026-03-06T13:46:02+08:00” description: “从1995年Tatu Ylönen发明SSH协议，到2023年GitHub RSA密钥泄露事件，SSH密钥认证已经走过了三十年历程。本文深度剖析SSH密钥认证的安全困境：Ed25519与RSA的算法博弈、Agent转发攻击原理、证书认证的企业级方案、以及FIDO2硬件密钥的零信任实践。基于USENIX Security论文、Qualys安全公告、NIST SP 800-63标准等权威信源，揭示SSH密钥管理中的十大安全陷阱，以及从密钥蔓延（key sprawl）到证书权威（CA）架构的技术演进路径。” draft: false categories: [“网络安全”, “密码学”, “运维实践”] tags: [“SSH”, “密钥管理”, “Ed25519”, “证书认证”, “零信任”, “FIDO2”, “CVE-2023-38408”, “Agent转发”, “密钥泄露”] 2023年3月24日，凌晨5点UTC，GitHub紧急更换了其用于保护Git操作的RSA SSH主机密钥。原因很讽刺：这个密钥在某个公开的GitHub仓库中被短暂暴露。 ...

你刚在远程服务器上执行了一个耗时两小时的数据库迁移脚本，眼看就要完成，切回终端一看——client_loop: send disconnect: Broken pipe。脚本进程随SSH会话一起灰飞烟灭，所有进度化为乌有。 ...