Существует ли угроза безопасности для раскрытия вашего файла SSH known_hosts?
На следующей неделе я говорю на конференции о некоторых программных инструментах, которые я создал. Мой ноутбук будет показан на экране проектора во время этой презентации. Презентация будет записана на видео и размещена на YouTube. Если по какой-то причине у меня есть возможность открыть и отредактировать ~/.ssh/known_hosts файл во время этой презентации, следует ли отключать проектор при этом? Есть ли угроза безопасности для раскрытия моего файла known_hosts?
2 ответа
Файл known_hosts содержит доверенные открытые ключи для хостов, к которым вы подключались в прошлом. Эти открытые ключи можно получить, просто попытавшись подключиться к этим хостам. Поэтому это не является угрозой безопасности как таковой.
Но: он содержит историю хостов, к которым вы подключены. Информация может использоваться потенциальным злоумышленником, например, для создания инфраструктуры организации. Также он сообщает потенциальным злоумышленникам, что вы, вероятно, имеете доступ к определенным хостам и что кража вашего ноутбука также даст им доступ.
Изменить: чтобы не показывать ваш файл known_hosts, я рекомендую вам использовать ssh-keygen полезность. ssh-keygen -R ssh1.example.org например удаляет доверенные ключи для ssh1.example.org из ваших известных_хостов.
В этом нет ничего особенно опасного. Однако вы, возможно, не захотите раскрывать эту идентифицирующую информацию. Иногда существование хостов показывает хорошие линии атаки для склонных. Вы можете использовать HashKnownHostsили вы можете редактировать файл, не глядя на него.
Слепое редактирование:sed -i 25d .ssh/known_hosts удалит строку 25 без размещения содержимого на экране.
HashKnownHosts
Указывает, что ssh(1) должен хэшировать имена хостов и адреса, когда они добавляются в ~/.ssh/known_hosts. Эти хэшированные имена могут обычно использоваться ssh(1) и sshd(8), но они не раскрывают идентифицирующую информацию, если содержимое файла будет раскрыто. По умолчанию "нет". Обратите внимание, что существующие имена и адреса в известных файлах хоста не будут конвертироваться автоматически, но могут быть хэшированы вручную с помощью ssh-keygen(1).