Conceptul de securitate este că faceți o verificare manuală / în afara benzii a amprentei cheii serverului o dată pentru fiecare nou server la care vă conectați, pentru a vă asigura că vă conectați la serverul real pe care doriți să îl accesați și că nu sunteți conectarea la serverul greșit sau la un om-in-the-middle sau alt atacator.
Când amprentele se potrivesc, adăugați cheia de server la gazdele_cunoscute și vi se va cere din nou doar atunci când, brusc, acea cheie de încredere nu mai este oferită de server. În acest caz, fie cheia serverului s-a schimbat, fie există un joc greșit, dar în orice caz trebuie să investigați.
În practică și mai ales într-un mediu mare, validarea manuală a amprentelor digitale nu este adesea practică. Rularea ssh-keyscan
poate fi util să populați cunoscutele_gazde (o dată), dar se presupune că în prezent nu există MITM sau alt joc greșit. Starea actuală va fi linia de bază acceptată și veți putea detecta doar schimbările viitoare ale cheilor de server.
Acest lucru înlătură o parte din securitate, dar poate fi un risc acceptabil.
Pentru a reveni de la orice cheie de server care a fost acceptată accidental de încredere, aceasta trebuie să fie eliminată din fișierul known_hosts.
Opțiunile tale sunt:
- ștergeți toate cheile de server de încredere prin ștergerea completă
Ë/.ssh/known_hosts
- edita manual
Ë/.ssh/known_hosts
și eliminați liniile cu intrarea specifică pentru server(e).
Dacă ați accesat serverul de la distanță prin diferite mijloace, de exemplu atât cu un nume de gazdă, cât și cu adresa IP, pot exista chei de server pentru fiecare în cunoscute_gazde
- uneori numele de gazdă în
Ë/.ssh/known_hosts
sunt hashing (când HashKnownHosts
directiva pentru ssh este activată) nu puteți edita manual Ë/.ssh/known_hosts
și ar trebui să folosești ssh-keygen -R HOSTNAME
pentru a elimina cheia stocată pentru acel HOSTNAME. Din nou, pot exista diferite intrări pentru hostname, hostname.example.com și adresa IP a acelei gazde.