Como adicionar o ECDSA do servidor a hosts conhecidos, mas ter a chance de verificá-lo?

1

Existe alguma maneira de adicionar uma impressão digital conhecida do ECDSA a known_hosts sem tentar fazer login no servidor ou forçar o ssh a mostrar a chave e me pedir aceitação?

Quando estou tentando fazer o login pela primeira vez, ele adiciona a chave automaticamente, sem mostrá-la, o que não é muito seguro.

    
por ardabro 20.08.2015 / 11:33

1 resposta

1

O conteúdo de known_host é apenas o conteúdo do arquivo .pub da chave do host SSH, que (no caso do ECDSA) é encontrado em /etc/ssh/ssh_host_ecdsa_key.pub .

Na maioria das configurações, o SSH deve perguntar pela chave SSH do host na primeira vez; se isso não acontecer, existem duas possibilidades:

  1. Você tem StrictHostKeyChecking definido como no . Se este for o caso, o SSH apenas adicionará qualquer chave SSH a known_hosts , sem solicitar ou executar nenhum tipo de verificação. Para corrigir, defina essa opção como yes (ssh não perguntará, mas também se recusará a se conectar ao host com chave desconhecida) ou ask (ssh perguntará o que fazer quando confrontado com uma chave desconhecida; o padrão)
  2. O administrador do servidor SSH criou um registro DNS SSHFP para seu servidor e tem DNSSEC ativado, seu cliente SSH pode verificar a cadeia DNSSEC e a impressão digital SSHFP corresponde àquela exportada pelo servidor. Neste caso, a impressão digital do SSH é verificada, mas não através dos meios regulares, e o SSH não o incomodará com a minúcia de verificar se tudo está bem.
por 20.08.2015 / 11:46

Tags