В вызове переадресации локального порта ниже,
[me@TunnelBeginHost]$ ssh -L TunnelBeginPort:TunnelEndHost:TunnelEndPort ViaUser@ViaHost
Учитывая тот факт, что часть туннеля между ViaHost
и TunnelEndHost
является небезопасной, склонной к прослушиванию сети и тому ssh
подобное , почему даже предоставляется такая опция? Безопасность ssh
должна быть в центре , если бы она не требовала аутентификации и в TunnelEndHost ... скажем, с (гипотетическим) синтаксисом, например,
[me@TunnelBeginHost]$ # Proposed syntax:
[me@TunnelBeginHost]$ ssh -L TunnelBeginPort:TunnelEndUser:TunnelEndHost:TunnelEndPort ViaUser@ViaHost
что бы обеспечить безопасный туннель между ViaHost
и TunnelEndHost
так же?
Аналогично, для удаленной переадресации портов.
Понимание логического обоснования этой возможности ssh
поможет прояснить любые заблуждения, которые могут возникнуть у меня по поводу ssh
туннелирования, или о предостережениях безопасности, связанных с ним.
TunnelEndHost
может быть перехвачен, даже если он находится в обычной интрасети без IPsec; (2)TunnelEndHost
имеетsshd
работу, и что команда в синтаксисе предложенного выше потерпит неудачу , если нет. Разве не правда, что (небезопасные) TCP-туннели также могут быть созданы с помощью такой программыsocat
, так почему же нужноssh
добровольно предлагать небезопасные функции, как это?