known_hosts

Micky Del Favero micky@mesina.net
Lun 26 Maggio 2008 23:13:49 CEST


Oriano <linux@oriano.org> writes:

> Ciao a tutti,

ciao *!

> La soluzione adottata è quella di cancellare il file e quindi
> rigenerare le righe man mano che mi collego.

Adotti la soluzione sbagliata: cancellando il file, e quindi *tutte* le
chiavi di host conosciuti, se hai script automatici questi si
bloccheranno ad aspettare l'accettazione o meno della nuova chiave, e
cosa ben peggiore potresti accettare chiavi non valide, chi ti
garantisce che la chiave che un host remoto ti presenta sia veramente
quella dell'host a cui vuoi connetterti e non un host maligno nel mezzo?
Certo ci sono sempre le impronte digitali, ma gli utenti le controllano
o scrivono yes e morta là? Meglio tenersi le chiavi che si sa essere
valide.

La soluzione corretta è:

  ssh-keygen -R nomehost
  ssh-keygen -R IP.host

> Mi ricordo che qualche tempo in questo file si poteva "vedere"
> la corrispondenza fra host e chiave, adesso no, cosa è cambiato?

Ora sono in formato hash che AFAIK è ritenuto più sicuro perché non
espone nome e ip dell'host e non permette negazioni o wildcard (non ho
trovato una traduzione adeguata in italiano del termina), da man sshd:

     Alternately, hostnames may be stored in a hashed form which hides
     host names and addresses should the file's contents be disclosed.
     Hashed hostnames start with a '|' character.  Only one hashed
     hostname may appear on a single line and none of the above negation
     or wildcard operators may be applied.

Ciao, Micky
-- 
UNIX is basically a simple operating system, but you have to 
be a genius to understand the simplicity.  -- Dennis Ritchie


Maggiori informazioni sulla lista blug