Por que devo usar o “HashKnownHosts yes” no ssh_config?

18

Eu tenho alguns servidores com sim, outros sem nenhum aqui (eu só descobri essa opção hoje).

As vantagens do HashKnownHosts no são que eu posso manter o arquivo known_hosts mais facilmente.

Quais são as vantagens factuais de usar o HashKnownHosts, sim?

    
por Thibaut Barrère 10.02.2011 / 15:05

2 respostas

8

O arquivo known_hosts representa um pequeno risco de segurança. Ele contém uma lista conveniente de todos os servidores aos quais você se conecta. Um invasor que obteve acesso à sua senha ou chave privada não criptografada simplesmente precisaria fazer uma iteração na lista até que suas credenciais fossem aceitas. Hashing resolve isso ou pelo menos ofusca a lista.

    
por 10.02.2011 / 15:20
19

Com um texto claro known_hosts , os invasores saberiam com facilidade com quais servidores você se conecta. Existe um artigo e um Documento MIT sobre um potencial worm ssh fazendo uso de um known_hosts legível. É claro que normalmente existem outras maneiras, ainda mais complicadas, para determinar seus logins ssh diários, como seu histórico de shell, que um invasor poderia usar.

Observe que você ainda pode trabalhar com seu hash known_hosts usando o programa utilitário ssh-keygen :

ssh-keygen -F myhost         # shows myhosts's line in the known_hosts file
ssh-keygen -l -F myhost      # additionally shows myhost's fingerprint
ssh-keygen -R myhost         # remove myhost's line from known_hosts

Isso, especialmente o último comando, deve ser suficiente para 99% dos casos, os usuários realmente precisam acessar known_hosts . Você perderá a conclusão da guia do host ssh embora, é claro.

Observe também que as opções de linha de comando para ssh-keygen diferenciam maiúsculas e minúsculas

Há também um questão relevante em unix.SE.

    
por 08.08.2013 / 20:40

Tags