known_hosts
Micky Del Favero
micky@mesina.net
Lun 26 Maggio 2008 23:13:49 CEST
Oriano <linux@oriano.org> writes:
> Ciao a tutti,
ciao *!
> La soluzione adottata è quella di cancellare il file e quindi
> rigenerare le righe man mano che mi collego.
Adotti la soluzione sbagliata: cancellando il file, e quindi *tutte* le
chiavi di host conosciuti, se hai script automatici questi si
bloccheranno ad aspettare l'accettazione o meno della nuova chiave, e
cosa ben peggiore potresti accettare chiavi non valide, chi ti
garantisce che la chiave che un host remoto ti presenta sia veramente
quella dell'host a cui vuoi connetterti e non un host maligno nel mezzo?
Certo ci sono sempre le impronte digitali, ma gli utenti le controllano
o scrivono yes e morta là? Meglio tenersi le chiavi che si sa essere
valide.
La soluzione corretta è:
ssh-keygen -R nomehost
ssh-keygen -R IP.host
> Mi ricordo che qualche tempo in questo file si poteva "vedere"
> la corrispondenza fra host e chiave, adesso no, cosa è cambiato?
Ora sono in formato hash che AFAIK è ritenuto più sicuro perché non
espone nome e ip dell'host e non permette negazioni o wildcard (non ho
trovato una traduzione adeguata in italiano del termina), da man sshd:
Alternately, hostnames may be stored in a hashed form which hides
host names and addresses should the file's contents be disclosed.
Hashed hostnames start with a '|' character. Only one hashed
hostname may appear on a single line and none of the above negation
or wildcard operators may be applied.
Ciao, Micky
--
UNIX is basically a simple operating system, but you have to
be a genius to understand the simplicity. -- Dennis Ritchie
Maggiori informazioni sulla lista
blug