SSH known_hosts dosyanızı ifşa etmenin güvenlik riski var mı?


32

Gelecek hafta bir konferansta oluşturduğum bazı yazılım araçları hakkında konuşacağım. Bu sunum sırasında dizüstü bilgisayarım bir projektör ekranında görünecek. Sunum videoya alınacak ve youtube'a gönderilecektir. Bir nedenden ötürü, ~/.ssh/known_hostsbu sunum sırasında dosyamı açma ve düzenleme zamanım varsa, bunu yaparken projektör bağlantısını kesmeli miyim? Known_hosts dosyamı açıklamak için herhangi bir güvenlik riski var mı?


7
known_hostsSunum sırasında neden gerçek bilgilerinizi sahte biriyle değiştirmiyorsunuz ?
Sven

1
... veya ana bilgisayar parmak izini ilk önce kontrol etmezseniz ssh -oUserKnownHostsFile=/dev/null -oStrictHostKeyChecking=no user@host, parmak izi sorusunu atlamak ve mevcut bilinen ana bilgisayarlara karşı kontrol yapmaktan kaçınmak gibi bir şey kullanın .
Lekensteyn

@ Bilinen_hosts dosyası sunumun bir parçası değildir, sadece gösterdiğim yazılımın zaman zaman bilinen_host'larımı düzenlememi gerektirmesidir. Seyircinin bunu görmesine gerek yok (bu yüzden burada bazı yorumcuların önerdiği gibi kör düzenlemeyi kullanacağım) ancak bilinen bir sahte dosya_adı düzenlemek sadece amacımı gerçekleştiremez.
Matt Korostoff

Yanıtlar:


43

Known_hosts dosyası, daha önce bağlandığınız ana bilgisayarlar için güvenilir ortak anahtarları içerir. Bu ortak anahtarlar, bu ana bilgisayarlara bağlanmaya çalışılarak kolayca elde edilebilir. Bu nedenle, kendi başına bir güvenlik riski yoktur.

Ancak: Bağlandığınız ana bilgisayarların bir geçmişini içerir. Bilgi, potansiyel bir saldırgan tarafından örneğin kuruluş altyapısına ayak izi vermek için kullanılabilir. Ayrıca, potansiyel saldırganlara muhtemelen belirli ana bilgisayarlara erişiminiz olduğunu ve dizüstü bilgisayarınızı çalmanın onlara erişim sağlaması gerektiğini bildirir.

Düzenleme: Bilinen_hosts dosyanızı göstermekten kaçınmak için ssh-keygenyardımcı programı kullanmanızı öneririz . ssh-keygen -R ssh1.example.orgörneğin, güvenilir anahtarları ssh1.example.orgbilinen_host'larınızdan kaldırır .


15

Bu konuda özellikle tehlikeli hiçbir şey yok. Ancak, bu tanımlayıcı bilgiyi ifşa etmek istemeyebilirsiniz. Bazen ev sahiplerinin varlığı, eğimli olanlar için iyi saldırı çizgileri ortaya çıkarmaktadır. Kullanabilir HashKnownHostsveya dosyayı görmeden düzenleyebilirsiniz.


Kör düzenleme:
sed -i 25d .ssh/known_hosts25 satırını, ekrana herhangi bir içerik koymadan silecektir.

HashKnownHosts
ssh (1) öğesinin ~ / .ssh / known_hosts öğesine eklendiklerinde ana bilgisayar adlarına ve adreslerine sahip olması gerektiğini belirtir. Bu karma isimler normal olarak ssh (1) ve sshd (8) tarafından kullanılabilir, ancak dosyanın içeriğinin açıklanması durumunda tanımlayıcı bilgileri ortaya çıkarmazlar. Varsayılan "hayır" dır. Bilinen ana bilgisayar dosyalarındaki mevcut adların ve adreslerin otomatik olarak dönüştürülmeyeceğini, ancak ssh-keygen (1) kullanılarak manuel olarak toplanabileceğini unutmayın.


4
Satır numarasını manuel olarak hesaplamak ve sed ile silmek yerine de kullanabilirsiniz ssh-keygen -R example.com.
Lekensteyn

4
ssh-keygen -H -f ~/.ssh/known_hostsDosyadaki tüm adları / adresleri de karma olarak kullanabilirsiniz .
Barmar
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.