ฉันมีเซิร์ฟเวอร์บางตัวที่มีใช่และที่อื่น ๆ ไม่มีที่นี่ (ฉันเพิ่งค้นพบตัวเลือกนี้ในวันนี้)
ข้อดีของ HashKnownHosts no คือฉันสามารถดูแลรักษาไฟล์ known_hosts ได้ง่ายขึ้น
อะไรคือข้อดีของการใช้ HashKnownHosts
ฉันมีเซิร์ฟเวอร์บางตัวที่มีใช่และที่อื่น ๆ ไม่มีที่นี่ (ฉันเพิ่งค้นพบตัวเลือกนี้ในวันนี้)
ข้อดีของ HashKnownHosts no คือฉันสามารถดูแลรักษาไฟล์ known_hosts ได้ง่ายขึ้น
อะไรคือข้อดีของการใช้ HashKnownHosts
คำตอบ:
ไฟล์ known_hosts แสดงถึงความเสี่ยงด้านความปลอดภัยขนาดเล็ก มันมีรายการที่สะดวกของเซิร์ฟเวอร์ทั้งหมดที่คุณเชื่อมต่อ ผู้โจมตีที่เข้าถึงรหัสผ่านของคุณหรือรหัสส่วนตัวที่ไม่ได้เข้ารหัสจะต้องวนซ้ำรายการจนกว่าจะได้รับข้อมูลรับรองของคุณ การแฮชแก้ไขปัญหานี้หรือทำให้รายการสับสนอย่างน้อย
ด้วยข้อความธรรมดาknown_hostsผู้โจมตีจะทราบได้อย่างง่ายดายว่าเซิร์ฟเวอร์ใดที่คุณเชื่อมต่อ มีความเป็นบทความและกระดาษ MITเกี่ยวกับศักยภาพในการทำหนอน SSH known_hostsใช้สามารถอ่านได้ แน่นอนว่าโดยทั่วไปจะมีวิธีอื่น ๆ แต่วิธีที่ยุ่งยากกว่าในการกำหนดการเข้าสู่ระบบรายวันของคุณเช่นประวัติเชลล์ของคุณที่ผู้โจมตีสามารถใช้งานได้
โปรดทราบว่าคุณยังสามารถใช้งานแฮชได้known_hostsโดยใช้ssh-keygenโปรแกรมยูทิลิตี้:
ssh-keygen -F myhost # shows myhosts's line in the known_hosts file
ssh-keygen -l -F myhost # additionally shows myhost's fingerprint
ssh-keygen -R myhost # remove myhost's line from known_hostsโดยเฉพาะอย่างยิ่งคำสั่งสุดท้ายควรเพียงพอสำหรับ 99% ของกรณีที่ผู้ใช้ต้องการเข้าถึงknown_hostsจริงๆ คุณจะสูญเสียความสมบูรณ์ของแท็บโฮสต์ ssh แม้ว่าแน่นอน
นอกจากนี้โปรดทราบว่าตัวเลือกบรรทัดคำสั่งจะต้องตรงตามตัวพิมพ์ใหญ่และตัวssh-keygenพิมพ์เล็ก
นอกจากนี้ยังมีคำถามที่เกี่ยวข้องที่ unix.SE