Mam kilka serwerów z tak, niektóre z nie tutaj (odkryłem tę opcję tylko dzisiaj).
Zaletą HashKnownHosts nie jest to, że mogę łatwiej zarządzać plikiem znane_hosty.
Jakie są faktyczne zalety korzystania z HashKnownHosts tak?
Plik znane_hosty stanowi niewielkie zagrożenie bezpieczeństwa. Zawiera wygodną listę wszystkich serwerów, z którymi się łączysz. Osoba atakująca, która uzyskała dostęp do Twojego hasła lub niezaszyfrowanego klucza prywatnego, musiałaby po prostu iterować listę do momentu zaakceptowania poświadczeń. Hashowanie rozwiązuje ten problem lub przynajmniej zaciemnia listę.
Za pomocą czystego tekstu osoby
known_hosts
atakujące z łatwością będą wiedziały, z którymi serwerami się łączysz. Jest artykuł i artykuł MIT o potencjalnym robaku ssh korzystającym z czytelnegoknown_hosts
. Oczywiście zwykle istnieją inne, ale bardziej uciążliwe sposoby określania codziennych logowań ssh, takie jak historia powłoki, z których może skorzystać osoba atakująca.Pamiętaj, że nadal możesz pracować z hashem
known_hosts
za pomocąssh-keygen
programu narzędziowego:To, zwłaszcza ostatnie polecenie, powinno wystarczyć w 99% przypadków, do których użytkownicy naprawdę potrzebują dostępu
known_hosts
. Oczywiście stracisz ukończenie zakładki hosta ssh.Należy również pamiętać, że w opcjach wiersza polecenia
ssh-keygen
rozróżniana jest wielkość literW unix.SE jest także istotne pytanie.
źródło