Существует ли угроза безопасности к раскрытию Вашего SSH known_hosts файл?
Я говорю на конференции на следующей неделе о некоторых программных инструментах, которые я создал. Мой ноутбук покажут на экране проектора во время этой презентации. Презентация будет снята и отправлена на YouTube. Если по некоторым причинам у меня есть случай, чтобы открыть и отредактировать мой ~/.ssh/known_hosts файл во время этой презентации, я должен разъединить проектор при выполнении так? Там какая-либо угроза безопасности к раскрытию моего known_hosts файла?
Файл known_hosts содержит доверенные открытые ключи для хостов, к которым вы подключались в прошлом. Эти открытые ключи можно получить, просто попытавшись подключиться к этим хостам. Следовательно, это не представляет угрозы безопасности как таковой.
Но: Он содержит историю хостов, к которым вы подключались. Информация может может использоваться потенциальным злоумышленником, например, для нанесения ущерба инфраструктуре организации. Также он информирует потенциальных злоумышленников о том, что у вас, вероятно, есть доступ к определенным хостам, и что кража вашего ноутбука также даст им доступ.
Изменить: Чтобы не показывать ваш файл known_hosts, я рекомендую вам использовать ssh-keygen утилита. ssh-keygen -R ssh1.example.org , например, удаляет доверенные ключи для ssh1.example.org из ваших known_hosts.
В этом нет ничего особенно опасного. Однако вы можете не захотеть раскрывать эту идентифицирующую информацию. Иногда наличие хозяев открывает хорошие линии атаки для тех, кто склонен. Вы можете либо использовать HashKnownHosts , либо редактировать файл, не просматривая его.
Слепое редактирование:
sed -i 25d .ssh / known_hosts удалит строку 25 без вывода содержимого на экран.
HashKnownHosts
Указывает, что ssh (1) должен хешировать имена и адреса хостов когда они добавляются в ~ / .ssh / known_hosts. Эти хешированные имена могут обычно использоваться ssh (1) и sshd (8), но они не раскрывают идентифицирующую информацию в случае раскрытия содержимого файла. По умолчанию - «нет». Обратите внимание, что существующие имена и адреса в файлах известных хостов не будут преобразованы автоматически, но могут быть хешированы вручную с помощью ssh-keygen (1).