Рейтинг:0

Я использовал ssh-keyscan для автоматического разрешения отпечатков пальцев в производственной среде. хорошо ли это

флаг ro

Есть ли варианты отменить упомянутое действие. вызовет ли это какие-либо нарушения безопасности?

Рейтинг:0
флаг cn
Bob

Концепция безопасности заключается в том, что вы выполняете ручную / внеполосную проверку отпечатка пальца сервера один раз для каждого нового сервера, к которому вы подключаетесь, чтобы убедиться, что вы подключаетесь к фактическому серверу, к которому хотите получить доступ, и что вы не подключение к неправильному серверу, посреднику или другому злоумышленнику.

Когда отпечатки пальцев совпадут, вы добавите ключ сервера к своим known_hosts, и вам будет предложено снова, только когда внезапно этот доверенный ключ больше не будет предлагаться сервером. В этом случае либо ключ сервера изменился, либо имеет место нечестная игра, но в любом случае вам необходимо провести расследование.


На практике, и особенно в больших средах, ручная проверка отпечатков пальцев часто нецелесообразна. Запуск ssh-keyscan может быть целесообразно заполнить known_hosts (один раз), но предполагается, что в настоящее время нет MITM или других нечестных действий. Текущий статус будет принятым базовым уровнем, и вы сможете обнаруживать только будущие изменения ключа сервера.

Это снимает часть безопасности, но может быть приемлемым риском.


Чтобы вернуться к любому ключу сервера, который был случайно принят как доверенный, его необходимо удалить из файла known_hosts.

Ваши варианты:

  • удалить все ключи доверенного сервера, полностью удалив Ë/.ssh/known_hosts
  • редактировать вручную Ë/.ssh/known_hosts и удалите строки с конкретной записью для серверов.
    Если вы обращались к удаленному серверу разными способами, например, используя как имя хоста, так и IP-адрес, ключи сервера для каждого из них могут быть в known_hosts.
  • иногда имена хостов в Ë/.ssh/known_hosts хешируются (когда HashKnownHosts директива для ssh включена) вы не можете редактировать вручную Ë/.ssh/known_hosts и вы должны использовать ssh-keygen -R ИМЯ ХОСТА чтобы удалить сохраненный ключ для этого HOSTNAME. Опять же, могут быть разные записи для имени хоста, hostname.example.com и IP-адреса этого хоста.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.