Вопрос: Почему я должен использовать «HashKnownHosts yes» в ssh_config?


У меня есть несколько серверов с да, некоторые другие без здесь (я только открыл этот вариант сегодня).

Преимущества HashKnownHosts - это то, что я могу легче поддерживать файл known_hosts.

Каковы фактические преимущества использования HashKnownHosts?


18
2018-02-10 14:05


Источник




Ответы:


Файл known_hosts представляет собой небольшой риск для безопасности. Он содержит удобный список всех серверов, к которым вы подключаетесь. Злоумышленнику, получившему доступ к вашему паролю или незашифрованному закрытому ключу, просто нужно будет перебирать список до тех пор, пока ваши учетные данные не будут приняты. Хеширование разрешает это или, по крайней мере, запутывает список.


8
2018-02-10 14:20



Этот ответ, похоже, был скопирован без атрибуции из vitalvector.com/blog/2009/02/ssh-tip-hash-known-hosts.html - Martey


С открытым текстом known_hosts, злоумышленники легко узнают, с какими серверами вы подключаетесь. Есть статья и Бумага MIT о потенциальном ssh-червях, использующем читаемый known_hosts, Конечно, обычно есть и другие, но еще более громоздкие способы определения ваших ежедневных учетных записей ssh, таких как история вашей оболочки, которую может использовать злоумышленник.

Обратите внимание, что вы все еще можете работать с хэшем known_hosts используя ssh-keygen служебная программа:

ssh-keygen -F myhost         # shows myhosts's line in the known_hosts file
ssh-keygen -l -F myhost      # additionally shows myhost's fingerprint
ssh-keygen -R myhost         # remove myhost's line from known_hosts

Это, особенно последняя команда, должно быть достаточным для 99% случаев, когда пользователям действительно нужен доступ known_hosts, Конечно, вы потеряете вкладку вкладки хоста ssh.

Также обратите внимание, что параметры командной строки для ssh-keygen чувствительны к регистру

Существует также соответствующий вопрос на unix.SE.


18
2017-08-08 18:40