Le principal risque est que la connexion initiale puisse être interceptée par un Man-In-The-Middle, donc un attaquant peut récupérer le mot de passe.
La première fois qu'un utilisateur se connecte à un serveur SSH, quelque chose de similaire à ce qui suit s'affiche:
$ ssh scanme.nmap.org L'authenticité de l'hôte 'scanme.nmap.org (45.33.32.156)' ne peut pas être établie.L'empreinte digitale de la clé ECDSA est SHA256: 8iz5L6iZxKJ6YONmad4oMbC + m / + vI9vx5C5f + qTTGDc.Êtes-vous sûr de vouloir continuer à vous connecter (oui / non)?
Maintenant, à moins que chaque utilisateur ne vérifie cette empreinte digitale pour s'assurer que c'est votre serveur, alors il y a un risque que leur connexion ait été interceptée (par exemple, MITM sur leur réseau interceptant directement le trafic, ou un type de piratage DNS).
C'est parce que SSH est "Trust on First Use ". Si vous vous êtes déjà connecté à cet hôte et que la clé change soudainement, le message suivant s'affiche à la place, avertissant l'utilisateur.
@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@@@@@ AVERTISSEMENT: L'IDENTIFICATION DE L'HÔTE À DISTANCE A CHANGÉ! @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IL EST POSSIBLE QUE QUELQU'UN FAIT QUELQUE CHOSE DE NASTY! Quelqu'un pourrait espionner sur vous en ce moment (attaque de l'homme du milieu)! Il est également possible que la clé d'hôte RSA vient d'être modifiée.L'empreinte digitale de la clé RSA envoyée par l'hôte distant est 5c: 9b: 16: 56: a6: cd: 11: 10: 3a: cd: 1b: a2: 91: cd: e5: 1c.Veuillez contacter votre administrateur système.Ajoutez la clé d'hôte correcte dans /home/user/.ssh/known_hosts pour supprimer ce message. clé dans /home/user/.ssh/known_hosts:1 La clé d'hôte RSA pour ras.mydomain.com a changé et vous avez demandé une vérification stricte.La vérification de la clé d'hôte a échoué.
L'avertissement atténuera cette attaque pour les utilisateurs qui se sont déjà connectés à partir de ce client particulier.
D'autres risques moins critiques liés à l'ouverture de SSH sur Internet sont que de nombreux robots trouvent et tentent de se connecter à de tels serveurs. Si vous avez un mot de passe fort sur tous les comptes, le risque de compromission est très faible (par fort, j'entends un mot qui ne figurera certainement pas dans une liste de mots que l'attaquant peut utiliser ou créer). Les règles habituelles s'appliquent - par exemple, pas de réutilisation du mot de passe, mot de passe stocké en toute sécurité, etc. un autre service, il y a une chance que des vulnérabilités soient découvertes qui pourraient être automatiquement exploitées par de tels robots. Cependant, le risque de ceci n'est pas plus grand que celui d'un serveur Web ou d'une application Web d'être exploité. Comme tout serveur avec des services publics, une bonne stratégie de gestion des vulnérabilités est recommandée.
Voir également cette réponse, la partie relative aux messages d'avertissement SSH et au risque de continuer, même avec le public authentification par clé.