O conteúdo de known_host é apenas o conteúdo do arquivo .pub
da chave do host SSH, que (no caso do ECDSA) é encontrado em /etc/ssh/ssh_host_ecdsa_key.pub
.
Na maioria das configurações, o SSH deve perguntar pela chave SSH do host na primeira vez; se isso não acontecer, existem duas possibilidades:
- Você tem
StrictHostKeyChecking
definido comono
. Se este for o caso, o SSH apenas adicionará qualquer chave SSH aknown_hosts
, sem solicitar ou executar nenhum tipo de verificação. Para corrigir, defina essa opção comoyes
(ssh não perguntará, mas também se recusará a se conectar ao host com chave desconhecida) ouask
(ssh perguntará o que fazer quando confrontado com uma chave desconhecida; o padrão) - O administrador do servidor SSH criou um registro DNS SSHFP para seu servidor e tem DNSSEC ativado, seu cliente SSH pode verificar a cadeia DNSSEC e a impressão digital SSHFP corresponde àquela exportada pelo servidor. Neste caso, a impressão digital do SSH é verificada, mas não através dos meios regulares, e o SSH não o incomodará com a minúcia de verificar se tudo está bem.