1 votos

proteger el archivo known_host de la escritura - ¿buena o mala idea?

Quiero proteger el archivo known_host de la escritura Así que quiero realizar los siguientes pasos en mi servidor Linux red-hat

Cp /dev/null   /root/.ssh/known_hosts
chattr +i /root/.ssh/known_hosts

Quiero que eso porque quiero evitar el inicio de sesión sin éxito a cualquier máquina de destino y que debido a que a veces obtenemos la advertencia - La identificación del host remoto ha cambiado error y el inicio de sesión es fallido

Pero no estoy seguro de si mi solución (escribir protect en known_host ) es una buena idea y cuál es el efecto negativo en el sistema Linux ?

O tal vez esta solución es una buena solución para mantener el host_conocido como vacío?

¿Qué piensan los miembros aquí?

1voto

Hastur Puntos 3599

En mi opinión, no es una buena idea (véase más abajo).

El siguiente comando eliminará la clave infractora de su host del known_hosts

  ssh-keygen -R <host>

Por ejemplo ssh-keygen -R my_old_client

Por qué esto no es una buena idea se puede argumentar desde man ssh (buscando abajo se puede leer):

Además, el servidor debe ser capaz de verificar la clave de host del cliente (véase la descripción de /etc/ssh/ssh_known_hosts y ~/.ssh/known_hosts, más abajo) para que se permita el inicio de sesión . Este método de autenticación cierra los agujeros de seguridad debidos a la suplantación de IP, la suplantación de DNS y la suplantación de rutas. [Nota para el administrador: /etc/hosts.equiv, ~/.rhosts, y el protocolo rlogin/rsh en general, son inherentemente inseguros y deben ser desactivados si se desea la seguridad].


Algunas palabras más: si ssh le indica que el llave de la máquina se cambia normalmente es porque se ha reinstalado ssh en esa máquina, o tal vez forzó una reconstrucción de las claves. Sin embargo ya no es el clave ssh que se usó la última vez... puede ser otro ordenador que intente tomar esa identidad. Si está seguro de que es el mismo ordenador puede eliminar / actualizar la clave ofensiva y seguir adelante.

Siempre desde man ssh sobre cómo funciona:

ssh mantiene y comprueba automáticamente una base de datos que contiene la identificación de todos los hosts con el que se ha utilizado alguna vez.
Las claves de los hosts se almacenan en ~/.ssh/known_hosts en el directorio personal del usuario. Además, el archivo /etc/ssh/ssh_known_hosts se comprueba automáticamente la existencia de hosts conocidos. Cualquier nuevo host se añade automáticamente al archivo del usuario. Si la identificación de un host cambia alguna vez, ssh avisa de ello y desactiva la autentificación por contraseña para evitar la suplantación del servidor o los ataques del hombre en el medio que, de otro modo, podría utilizarse para burlar el cifrado.

El StrictHostKeyChecking se puede utilizar para controlar los inicios de sesión en máquinas cuya clave de host no se conoce o ha cambiado.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: