非常可怕！作为一种风险，这应该向董事会提出——实际上，互联网上的攻击者只需要找出用户名和密码（或 SSH 0-day），您的整个公司网络都应该被视为受到威胁。没有它，企业还能运转吗？有什么敏感的东西吗？

这在很多方面都是一个坏主意：

它绕过外围控制

• 监控该管理员的活动可能是不可能的——从治理的角度来看，这是不好的。如果公司处于受监管的行业，这可能会违反规则。您应该构建系统，这样您就不必 100% 信任他人——这将有助于说服人们不要尝试恶意行为，因为他们会被抓住。
• 防止来自外围的攻击完全依赖于该 SSH 服务器的配置，而不是使用防火墙和 IDS 的纵深防御方案

这是一个关键目标

• 系统管理员的工作站可能是攻击者的皇冠上的明珠——这些应该受到相应的保护。如果攻击者可以访问它，升级到网络的其余部分可能会容易得多

没必要

大型组织已经为此类功能提供了一系列选项。通常归结为通过他们的域帐户下的普通远程访问解决方案访问网络内具有 SSH 客户端的“垫脚石”机器，然后登录到管理员工作站，然后是相当于提升权限的“su”，如果必要的。

然后，每个步骤都可以强制执行强大的控制和日志记录 - 对于管理员来说有点烦人（额外的几分钟登录），但对于攻击者来说更难通过不被注意的方式。

这一切都归结为威胁模型。这取决于攻击的风险和可能性。这取决于工作站的功能。这取决于所涉及的客户。

这与在实际服务器上运行 SSH 有何不同？如果服务帐户没有权限做很多事情，那么攻击就不会走得太远。如果服务帐户以高权限运行，那么它是在工作站上运行还是在服务器上运行并不重要。如果客户只是他的手机，那么与数百人连接到它相比，凭据被泄露的风险要小。如果 SSH 服务器被设计为只接受来自特定 IP 的连接，那么这将进一步降低风险。

如果工作站有权管理系统，那么出于您提到的某些原因，在其上运行 SSH 服务器可能不是一件好事。更好的是，它不应该与外界有任何联系。如果它是一个非管理员工作站，那么可能被破坏的最坏情况就是它拥有管理员访问权限的任何东西——如果有的话，几乎没有。

一方面，它增加了攻击面，另一方面，它增加了可管理性。因此，如果这是用于管理系统和应用更新的内容，则可能对风险状况产生积极影响。

在这种特殊情况下，它只是为了方便，它是一个高风险的目标。这里的问题需要是：

• 为了获得便利而冒险值得吗？
• 可以证明业务需要吗？
• 可以通过访问限制、最小特权等来部分减轻风险吗？
• 是否可以部分减轻风险，以实现与另一台机器甚至虚拟机基本相同的便利性？
• VPN 解决方案能否部分减轻风险？
• 应用所有合理的缓解措施后，收益是否大于风险？