У мене є деякі сервери з так, деякі інші - тут немає (я лише відкрив цей варіант сьогодні).
Переваги HashKknownHosts ні в тому, що я можу легше підтримувати файл known_hosts.
Які фактичні переваги використання HashKknownHosts так?
У мене є деякі сервери з так, деякі інші - тут немає (я лише відкрив цей варіант сьогодні).
Переваги HashKknownHosts ні в тому, що я можу легше підтримувати файл known_hosts.
Які фактичні переваги використання HashKknownHosts так?
Відповіді:
Файл known_hosts представляє невеликий ризик безпеки. Він містить зручний список усіх серверів, до яких ви підключаєтесь. Зловмиснику, який отримав доступ до вашого пароля або незашифрованого приватного ключа, просто потрібно було б повторити список, доки ваші облікові дані не були прийняті. Хешинг вирішує це або, принаймні, перекручує список.
З чітким текстом known_hostsзловмисники легко дізнаються, до яких серверів ви підключаєтесь. Є стаття та документ MIT про потенційного ssh-хробака, який використовує читабельний known_hosts. Звичайно, як правило, існують інші, але більш громіздкі способи визначення щоденних вхідних служб ssh, таких як історія вашої оболонки, які зловмисник може використовувати.
Зауважте, що ви все ще можете працювати зі своїм хешем known_hostsза допомогою ssh-keygenутиліти:
ssh-keygen -F myhost # shows myhosts's line in the known_hosts file
ssh-keygen -l -F myhost # additionally shows myhost's fingerprint
ssh-keygen -R myhost # remove myhost's line from known_hosts
Цього, особливо останньої команди, має бути достатньо для 99% випадків, коли користувачі дійсно потребують доступу known_hosts. Ви, звичайно, втратите заповнення вкладки ssh.
Також зверніть увагу, що параметри командного рядка ssh-keygenзалежать від регістру
Також на unix.SE є відповідне питання.