Ho alcuni server con sì, altri con no qui (ho scoperto questa opzione solo oggi).
I vantaggi di HashKnownHosts no sono che posso mantenere il file known_hosts più facilmente.
Quali sono i vantaggi concreti dell'utilizzo di HashKnownHosts sì?
Ho alcuni server con sì, altri con no qui (ho scoperto questa opzione solo oggi).
I vantaggi di HashKnownHosts no sono che posso mantenere il file known_hosts più facilmente.
Quali sono i vantaggi concreti dell'utilizzo di HashKnownHosts sì?
Risposte:
Il file known_hosts rappresenta un piccolo rischio per la sicurezza. Contiene un comodo elenco di tutti i server a cui ci si connette. Un utente malintenzionato che ha ottenuto l'accesso alla password o alla chiave privata non crittografata dovrebbe semplicemente scorrere l'elenco fino a quando le credenziali non vengono accettate. L'hash risolve questo problema o almeno offusca l'elenco.
Con un testo in chiaro known_hosts, gli aggressori saprebbero facilmente a quali server ti connetti. C'è un articolo e un documento del MIT su un potenziale worm ssh che utilizza un leggibile known_hosts. Naturalmente di solito ci sono altri modi, anche se più ingombranti, per determinare i tuoi accessi giornalieri ssh, come la cronologia della shell, che un utente malintenzionato potrebbe utilizzare.
Nota che puoi ancora lavorare con il tuo hash known_hostsusando il ssh-keygenprogramma di utilità:
ssh-keygen -F myhost # shows myhosts's line in the known_hosts file
ssh-keygen -l -F myhost # additionally shows myhost's fingerprint
ssh-keygen -R myhost # remove myhost's line from known_hostsQuesto, in particolare l'ultimo comando, dovrebbe essere sufficiente per il 99% dei casi in cui gli utenti devono davvero accedere known_hosts. Tuttavia, perderai il completamento della scheda host ssh.
Si noti inoltre che le opzioni della riga di comando ssh-keygenfanno distinzione tra maiuscole e minuscole
C'è anche una domanda rilevante su unix.SE.