Se eu scp um arquivo por meio de um servidor intermediário, o arquivo é armazenado temporariamente no servidor?

Por uma questão de simplicidade (acho mais fácil lembrar nomes do que letras arbitrárias), dispensarei as letras e usarei nomes para me referir às máquinas nesse cenário.

Digamos que eu tenha duas máquinas applejacke pinkie-pie, cada uma por conta própria, LANs separadas e não no mesmo local físico. Eu também tenho um servidor, cadancecom uma conexão direta com a Internet. Quero copiar um arquivo de applejackpara pinkie-pie, para evitar lidar com o encaminhamento de porta, configurei um túnel ssh de pinkie-piepara cadance( ssh -Retc cadance). Agora eu posso me conectar pinkie-piede qualquer lugar, conectando cadancee especificando uma porta alternativa para usar. Eu também pode copiar facilmente arquivos para pinkie-piecom scp -P $that_port $some_file cadance:$some_path.

Meu entendimento de como isso funciona é o seguinte:

1. É feita uma conexão segura de applejackparacadance
2. Estou autenticado para cadance
3. É feita uma conexão segura applejackpara a pinkie-pieque abrange o túnel reverso existente e a nova conexão da etapa 1.
4. Estou autenticado para pinkie-pie
5. Os arquivos são copiados diretamente de applejackpara pinkie-pienesta conexão.

Estou correto aqui? Quão segura é essa abordagem?

Se eu estiver errado ... os arquivos são copiados dessa maneira descriptografados cadanceantes de serem transmitidos pinkie-pie? Existe a possibilidade de permanecer vestígios de dados não criptografados cadance?

Na verdade, seu entendimento não está completamente certo. Se entendi corretamente, você está executando o último comando ( scp -P $that_port $some_file cadance:$some_path) de applejack. Nesse caso, você não está se autenticando na cadance(etapa 2), mas apenas se conectando ao túnel reverso pinkie-pie.

A conexão segura vai diretamente de applejackpara pinkie-pie; não há conexão segura entre applejacke cadance(etapa 1). cadanceé, em princípio, capaz de ler o texto não criptografado que passa pelo túnel reverso, mas esse texto em si é outro canal criptografado, portanto, é necessário quebrá-lo.

Portanto, você tem um canal criptografado de ponta a ponta entre applejacke pinkie-pie, como se os tivesse conectado diretamente. O túnel reverso serve apenas como uma maneira complicada de rotear o tráfego.

Em um túnel de qualquer tipo, haverá retenção temporária de dados, é aí que os dados podem ser interceptados, mas se o servidor intermediário estiver coletando dados criptografados e enviando-os, ele não poderá fazer nada com eles. Então, sim, há um ponto em que o intermediário obtém os dados porque, caso contrário, ele não seria um intermediário.