Вопросы Теги

Доверяйте SSH-серверу, основанному на ключе, вместо того, чтобы соответствовать ключу + IP

Возможно ли, чтобы клиент ssh не заботился о том, какой IP-сервер ssh за ним (и если другой сервер был за этим IP раньше), а вместо этого доверяют определенным ключам сервера? (И, возможно, прозвище эти ключи?) Я использую динамический DNS, и у меня есть IPv6-расширения конфиденциальности на некоторых компьютерах, и меня всегда спрашивают, считает ли он безопасным подключение. Другая возможность - это адреса, назначенные DHCP, назначаемые различным серверам ssh, и всевозможные ошибки «не соответствуют IP».

8
задан 12 June 2011 в 11:48

22 ответа

Добавьте псевдоним для своего сервера в ~/.ssh/config и отключите CheckHostIP для этого сервера. 

Host nickname
HostName example.dyndns.org
CheckHostIP no

Прежде чем подключиться к серверу в первый раз, вы можете скопировать публикацию key out-of-band: захватить /etc/ssh/ssh_host_rsa_key.pub с сервера, удалить часть root@hostname в конце строки, добавить example.dyndns.org в начале и добавить строку к ~/.ssh/config [!d1 ]. Необязательно запустите ssh-keygen -H для хеширования имени хоста (это полезно только в том случае, если вы обеспокоены конфиденциальностью этой записи, если кто-то крадет ваш жесткий диск или ваши резервные копии, что для 99,99% людей бесполезно, поскольку информация присутствует в в любом другом месте поблизости).

7
ответ дан 25 May 2018 в 20:22
  • 1
    С Host nickname, значит ли это, что я могу просто сделать ssh nickname, чтобы добраться до него? Если это так, это довольно аккуратно. – Azendale 14 June 2011 в 11:11
  • 2
    @Azendale: Точно, это общая функция, которая дает псевдоним имени хоста и набору параметров (имя пользователя, логические параметры, туннели, ...). – Gilles 14 June 2011 в 13:35

Добавьте псевдоним для своего сервера в ~/.ssh/config и отключите CheckHostIP для этого сервера.

Host nickname HostName example.dyndns.org CheckHostIP no

Прежде чем подключиться к серверу в первый раз, вы можете скопировать публикацию key out-of-band: захватить /etc/ssh/ssh_host_rsa_key.pub с сервера, удалить часть root@hostname в конце строки, добавить example.dyndns.org в начале и добавить строку к ~/.ssh/config . Необязательно запустите ssh-keygen -H для хеширования имени хоста (это полезно только в том случае, если вы обеспокоены конфиденциальностью этой записи, если кто-то крадет ваш жесткий диск или ваши резервные копии, что для 99,99% людей бесполезно, поскольку информация присутствует в в любом другом месте поблизости).

7
ответ дан 25 July 2018 в 21:44

Добавьте псевдоним для своего сервера в ~/.ssh/config и отключите CheckHostIP для этого сервера.

Host nickname HostName example.dyndns.org CheckHostIP no

Прежде чем подключиться к серверу в первый раз, вы можете скопировать публикацию key out-of-band: захватить /etc/ssh/ssh_host_rsa_key.pub с сервера, удалить часть root@hostname в конце строки, добавить example.dyndns.org в начале и добавить строку к ~/.ssh/config . Необязательно запустите ssh-keygen -H для хеширования имени хоста (это полезно только в том случае, если вы обеспокоены конфиденциальностью этой записи, если кто-то крадет ваш жесткий диск или ваши резервные копии, что для 99,99% людей бесполезно, поскольку информация присутствует в в любом другом месте поблизости).

7
ответ дан 31 July 2018 в 11:07

Добавьте псевдоним для своего сервера в ~/.ssh/config и отключите CheckHostIP для этого сервера.

Host nickname HostName example.dyndns.org CheckHostIP no

Прежде чем подключиться к серверу в первый раз, вы можете скопировать публикацию key out-of-band: захватить /etc/ssh/ssh_host_rsa_key.pub с сервера, удалить часть root@hostname в конце строки, добавить example.dyndns.org в начале и добавить строку к ~/.ssh/config . Необязательно запустите ssh-keygen -H для хеширования имени хоста (это полезно только в том случае, если вы обеспокоены конфиденциальностью этой записи, если кто-то крадет ваш жесткий диск или ваши резервные копии, что для 99,99% людей бесполезно, поскольку информация присутствует в в любом другом месте поблизости).

7
ответ дан 31 July 2018 в 12:05

Добавьте псевдоним для своего сервера в ~/.ssh/config и отключите CheckHostIP для этого сервера.

Host nickname HostName example.dyndns.org CheckHostIP no

Прежде чем подключиться к серверу в первый раз, вы можете скопировать публикацию key out-of-band: захватить /etc/ssh/ssh_host_rsa_key.pub с сервера, удалить часть root@hostname в конце строки, добавить example.dyndns.org в начале и добавить строку к ~/.ssh/config . Необязательно запустите ssh-keygen -H для хеширования имени хоста (это полезно только в том случае, если вы обеспокоены конфиденциальностью этой записи, если кто-то крадет ваш жесткий диск или ваши резервные копии, что для 99,99% людей бесполезно, поскольку информация присутствует в в любом другом месте поблизости).

7
ответ дан 2 August 2018 в 03:20

Добавьте псевдоним для своего сервера в ~/.ssh/config и отключите CheckHostIP для этого сервера.

Host nickname HostName example.dyndns.org CheckHostIP no

Прежде чем подключиться к серверу в первый раз, вы можете скопировать публикацию key out-of-band: захватить /etc/ssh/ssh_host_rsa_key.pub с сервера, удалить часть root@hostname в конце строки, добавить example.dyndns.org в начале и добавить строку к ~/.ssh/config . Необязательно запустите ssh-keygen -H для хеширования имени хоста (это полезно только в том случае, если вы обеспокоены конфиденциальностью этой записи, если кто-то крадет ваш жесткий диск или ваши резервные копии, что для 99,99% людей бесполезно, поскольку информация присутствует в в любом другом месте поблизости).

7
ответ дан 4 August 2018 в 19:17

Добавьте псевдоним для своего сервера в ~/.ssh/config и отключите CheckHostIP для этого сервера.

Host nickname HostName example.dyndns.org CheckHostIP no

Прежде чем подключиться к серверу в первый раз, вы можете скопировать публикацию key out-of-band: захватить /etc/ssh/ssh_host_rsa_key.pub с сервера, удалить часть root@hostname в конце строки, добавить example.dyndns.org в начале и добавить строку к ~/.ssh/config . Необязательно запустите ssh-keygen -H для хеширования имени хоста (это полезно только в том случае, если вы обеспокоены конфиденциальностью этой записи, если кто-то крадет ваш жесткий диск или ваши резервные копии, что для 99,99% людей бесполезно, поскольку информация присутствует в в любом другом месте поблизости).

7
ответ дан 6 August 2018 в 03:30

Добавьте псевдоним для своего сервера в ~/.ssh/config и отключите CheckHostIP для этого сервера.

Host nickname HostName example.dyndns.org CheckHostIP no

Прежде чем подключиться к серверу в первый раз, вы можете скопировать публикацию key out-of-band: захватить /etc/ssh/ssh_host_rsa_key.pub с сервера, удалить часть root@hostname в конце строки, добавить example.dyndns.org в начале и добавить строку к ~/.ssh/config . Необязательно запустите ssh-keygen -H для хеширования имени хоста (это полезно только в том случае, если вы обеспокоены конфиденциальностью этой записи, если кто-то крадет ваш жесткий диск или ваши резервные копии, что для 99,99% людей бесполезно, поскольку информация присутствует в в любом другом месте поблизости).

7
ответ дан 7 August 2018 в 21:18

Добавьте псевдоним для своего сервера в ~/.ssh/config и отключите CheckHostIP для этого сервера.

Host nickname HostName example.dyndns.org CheckHostIP no

Прежде чем подключиться к серверу в первый раз, вы можете скопировать публикацию key out-of-band: захватить /etc/ssh/ssh_host_rsa_key.pub с сервера, удалить часть root@hostname в конце строки, добавить example.dyndns.org в начале и добавить строку к ~/.ssh/config . Необязательно запустите ssh-keygen -H для хеширования имени хоста (это полезно только в том случае, если вы обеспокоены конфиденциальностью этой записи, если кто-то крадет ваш жесткий диск или ваши резервные копии, что для 99,99% людей бесполезно, поскольку информация присутствует в в любом другом месте поблизости).

7
ответ дан 7 August 2018 в 21:18

Добавьте псевдоним для своего сервера в ~ / .ssh / config и отключите CheckHostIP для этого сервера. 

  Host  nickname HostName example.dyndns.org CheckHostIP no

Прежде чем подключиться к серверу в первый раз, вы можете скопировать открытый ключ вне диапазона: grab / etc / ssh / ssh_host_rsa_key.pub с сервера, удалите часть root @ hostname в конце строки, добавьте example.dyndns.org в начале, и добавьте строку к ~ / .ssh / known_hosts . Опционально запустите ssh-keygen -H для хеширования имени хоста (это полезно только в том случае, если вы обеспокоены конфиденциальностью этой записи, если кто-то украл ваш жесткий диск или ваши резервные копии, что на 99,99% люди бесполезны, потому что информация присутствует в каком-то другом соседнем месте в любом случае).

7
ответ дан 10 August 2018 в 09:36

Добавьте псевдоним для своего сервера в ~ / .ssh / config и отключите CheckHostIP для этого сервера. 

  Host  nickname HostName example.dyndns.org CheckHostIP no

Прежде чем подключиться к серверу в первый раз, вы можете скопировать открытый ключ вне диапазона: grab / etc / ssh / ssh_host_rsa_key.pub с сервера, удалите часть root @ hostname в конце строки, добавьте example.dyndns.org в начале, и добавьте строку к ~ / .ssh / known_hosts . Опционально запустите ssh-keygen -H для хеширования имени хоста (это полезно только в том случае, если вы обеспокоены конфиденциальностью этой записи, если кто-то украл ваш жесткий диск или ваши резервные копии, что на 99,99% люди бесполезны, потому что информация присутствует в каком-то другом соседнем месте в любом случае).

7
ответ дан 13 August 2018 в 15:47
  • 1
    С ником хоста , означает ли это, что я могу просто сделать ssh nickname , чтобы получить к нему? Если это так, это довольно аккуратно. – Azendale 14 June 2011 в 11:11
  • 2
    @Azendale: Точно, это общая функция, которая дает псевдоним имени хоста и набору параметров (имя пользователя, логические параметры, туннели, ...). – Gilles 14 June 2011 в 13:35

В /etc/ssh/ssh_config добавьте строку 

CheckHostIP no

Однако это отнимает бит Secure в SSH, потому что любая машина может скрываться за именем IP или DynDNS, к которому вы подключаетесь.

2
ответ дан 25 May 2018 в 20:22
  • 1
    Это не снимает никакой безопасности. Весь смысл хранения ключа хоста - идентифицировать другой компьютер. Имя и IP-адрес не имеют отношения к безопасности, если у вас есть ключ хоста. Удаление ложных сообщений на самом деле является преимуществом для обеспечения безопасности (ложные сообщения потребляют ваше внимание, что является дефицитным ресурсом). – Gilles 12 June 2011 в 15:14
  • 2
    @Gilles: manpage не согласен. Да, вы не теряете никакой безопасности для соединений, где нет известной связи между IP-хостами, в других случаях вы отказываетесь от защиты от атак подмены DNS (как указано в man-странице). – htorque 12 June 2011 в 16:28
  • 3
    Я не знаю, на какой странице вы ссылаетесь. Если это описание CheckHostIP, то нет, он не говорит, что вы отказываетесь от какой-либо защиты. С помощью CheckHostIP no, spoofer все еще должен получить закрытый ключ сервера, и если она сможет это сделать, маловероятно, что она также не сможет подделать свой IP-адрес. – Gilles 12 June 2011 в 16:56
  • 4
    Можете ли вы дать мне пример того, как DNS-спуфинг будет опасным, если я знаю, что доверяю ключу? Я использую аутентификацию открытого ключа для входа в систему, что делает его настолько, что вредоносный сервер не может получить пароль, но что, если бы я использовал пароли? – Azendale 14 June 2011 в 11:03
  • 5
    Использование аутентификации с открытым ключом действительно не защищает ваш пароль, сервер может MITM вы и получить ваш пароль, когда вы sudo или аналогичный. – remram 2 November 2015 в 03:33

В /etc/ssh/ssh_config добавьте строку

CheckHostIP no

Однако это отнимает бит Secure в SSH, потому что любая машина может скрываться за именем IP или DynDNS, к которому вы подключаетесь.

2
ответ дан 25 July 2018 в 21:44
  • 1
    Это не снимает никакой безопасности. Весь смысл хранения ключа хоста - идентифицировать другой компьютер. Имя и IP-адрес не имеют отношения к безопасности, если у вас есть ключ хоста. Удаление ложных сообщений на самом деле является преимуществом для обеспечения безопасности (ложные сообщения потребляют ваше внимание, что является дефицитным ресурсом). – Gilles 12 June 2011 в 15:14
  • 2
    @Gilles: manpage не согласен. Да, вы не теряете никакой безопасности для соединений, где нет известной связи между IP-хостами, в других случаях вы отказываетесь от защиты от атак подмены DNS (как указано в man-странице). – htorque 12 June 2011 в 16:28
  • 3
    Я не знаю, на какой странице вы ссылаетесь. Если это описание CheckHostIP, то нет, он не говорит, что вы отказываетесь от какой-либо защиты. С помощью CheckHostIP no, spoofer все еще должен получить закрытый ключ сервера, и если она сможет это сделать, маловероятно, что она также не сможет подделать свой IP-адрес. – Gilles 12 June 2011 в 16:56
  • 4
    Можете ли вы дать мне пример того, как DNS-спуфинг будет опасным, если я знаю, что доверяю ключу? Я использую аутентификацию открытого ключа для входа в систему, что делает его настолько, что вредоносный сервер не может получить пароль, но что, если бы я использовал пароли? – Azendale 14 June 2011 в 11:03
  • 5
    Использование аутентификации с открытым ключом действительно не защищает ваш пароль, сервер может MITM вы и получить ваш пароль, когда вы sudo или аналогичный. – remram 2 November 2015 в 03:33

В /etc/ssh/ssh_config добавьте строку

CheckHostIP no

Однако это отнимает бит Secure в SSH, потому что любая машина может скрываться за именем IP или DynDNS, к которому вы подключаетесь.

2
ответ дан 31 July 2018 в 11:07
  • 1
    Это не снимает никакой безопасности. Весь смысл хранения ключа хоста - идентифицировать другой компьютер. Имя и IP-адрес не имеют отношения к безопасности, если у вас есть ключ хоста. Удаление ложных сообщений на самом деле является преимуществом для обеспечения безопасности (ложные сообщения потребляют ваше внимание, что является дефицитным ресурсом). – Gilles 12 June 2011 в 15:14
  • 2
    @Gilles: manpage не согласен. Да, вы не теряете никакой безопасности для соединений, где нет известной связи между IP-хостами, в других случаях вы отказываетесь от защиты от атак подмены DNS (как указано в man-странице). – htorque 12 June 2011 в 16:28
  • 3
    Я не знаю, на какой странице вы ссылаетесь. Если это описание CheckHostIP, то нет, он не говорит, что вы отказываетесь от какой-либо защиты. С помощью CheckHostIP no, spoofer все еще должен получить закрытый ключ сервера, и если она сможет это сделать, маловероятно, что она также не сможет подделать свой IP-адрес. – Gilles 12 June 2011 в 16:56
  • 4
    Можете ли вы дать мне пример того, как DNS-спуфинг будет опасным, если я знаю, что доверяю ключу? Я использую аутентификацию открытого ключа для входа в систему, что делает его настолько, что вредоносный сервер не может получить пароль, но что, если бы я использовал пароли? – Azendale 14 June 2011 в 11:03
  • 5
    Использование аутентификации по публичному ключу не совсем защитить паролем, сервер может МИОМ Вами и получить ваш пароль, когда вы [F1] или похожие. – remram 2 November 2015 в 03:33

В /etc/ssh/ssh_config добавьте строку

CheckHostIP no

Однако это отнимает бит Secure в SSH, потому что любая машина может скрываться за именем IP или DynDNS, к которому вы подключаетесь.

2
ответ дан 31 July 2018 в 12:05
  • 1
    Это не снимает никакой безопасности. Весь смысл хранения ключа хоста - идентифицировать другой компьютер. Имя и IP-адрес не имеют отношения к безопасности, если у вас есть ключ хоста. Удаление ложных сообщений на самом деле является преимуществом для обеспечения безопасности (ложные сообщения потребляют ваше внимание, что является дефицитным ресурсом). – Gilles 12 June 2011 в 15:14
  • 2
    @Gilles: manpage не согласен. Да, вы не теряете никакой безопасности для соединений, где нет известной связи между IP-хостами, в других случаях вы отказываетесь от защиты от атак подмены DNS (как указано в man-странице). – htorque 12 June 2011 в 16:28
  • 3
    Я не знаю, на какой странице вы ссылаетесь. Если это описание CheckHostIP, то нет, он не говорит, что вы отказываетесь от какой-либо защиты. С помощью CheckHostIP no, spoofer все еще должен получить закрытый ключ сервера, и если она сможет это сделать, маловероятно, что она также не сможет подделать свой IP-адрес. – Gilles 12 June 2011 в 16:56
  • 4
    Можете ли вы дать мне пример того, как DNS-спуфинг будет опасным, если я знаю, что доверяю ключу? Я использую аутентификацию открытого ключа для входа в систему, что делает его настолько, что вредоносный сервер не может получить пароль, но что, если бы я использовал пароли? – Azendale 14 June 2011 в 11:03
  • 5
    Использование аутентификации с открытым ключом действительно не защищает ваш пароль, сервер может MITM вы и получить ваш пароль, когда вы sudo или аналогичный. – remram 2 November 2015 в 03:33

В /etc/ssh/ssh_config добавьте строку

CheckHostIP no

Однако это отнимает бит Secure в SSH, потому что любая машина может скрываться за именем IP или DynDNS, к которому вы подключаетесь.

2
ответ дан 2 August 2018 в 03:20
  • 1
    Это не снимает никакой безопасности. Весь смысл хранения ключа хоста - идентифицировать другой компьютер. Имя и IP-адрес не имеют отношения к безопасности, если у вас есть ключ хоста. Удаление ложных сообщений на самом деле является преимуществом для обеспечения безопасности (ложные сообщения потребляют ваше внимание, что является дефицитным ресурсом). – Gilles 12 June 2011 в 15:14
  • 2
    @Gilles: manpage не согласен. Да, вы не теряете никакой безопасности для соединений, где нет известной связи между IP-хостами, в других случаях вы отказываетесь от защиты от атак подмены DNS (как указано в man-странице). – htorque 12 June 2011 в 16:28
  • 3
    Я не знаю, на какой странице вы ссылаетесь. Если это описание CheckHostIP, то нет, он не говорит, что вы отказываетесь от какой-либо защиты. С помощью CheckHostIP no, spoofer все еще должен получить закрытый ключ сервера, и если она сможет это сделать, маловероятно, что она также не сможет подделать свой IP-адрес. – Gilles 12 June 2011 в 16:56
  • 4
    Можете ли вы дать мне пример того, как DNS-спуфинг будет опасным, если я знаю, что доверяю ключу? Я использую аутентификацию открытого ключа для входа в систему, что делает его настолько, что вредоносный сервер не может получить пароль, но что, если бы я использовал пароли? – Azendale 14 June 2011 в 11:03
  • 5
    Использование аутентификации с открытым ключом действительно не защищает ваш пароль, сервер может MITM вы и получить ваш пароль, когда вы sudo или аналогичный. – remram 2 November 2015 в 03:33

В /etc/ssh/ssh_config добавьте строку

CheckHostIP no

Однако это отнимает бит Secure в SSH, потому что любая машина может скрываться за именем IP или DynDNS, к которому вы подключаетесь.

2
ответ дан 4 August 2018 в 19:17
  • 1
    Это не снимает никакой безопасности. Весь смысл хранения ключа хоста - идентифицировать другой компьютер. Имя и IP-адрес не имеют отношения к безопасности, если у вас есть ключ хоста. Удаление ложных сообщений на самом деле является преимуществом для обеспечения безопасности (ложные сообщения потребляют ваше внимание, что является дефицитным ресурсом). – Gilles 12 June 2011 в 15:14
  • 2
    @Gilles: manpage не согласен. Да, вы не теряете никакой безопасности для соединений, где нет известной связи между IP-хостами, в других случаях вы отказываетесь от защиты от атак подмены DNS (как указано в man-странице). – htorque 12 June 2011 в 16:28
  • 3
    Я не знаю, на какой странице вы ссылаетесь. Если это описание CheckHostIP, то нет, он не говорит, что вы отказываетесь от какой-либо защиты. С помощью CheckHostIP no, spoofer все еще должен получить закрытый ключ сервера, и если она сможет это сделать, маловероятно, что она также не сможет подделать свой IP-адрес. – Gilles 12 June 2011 в 16:56
  • 4
    Можете ли вы дать мне пример того, как DNS-спуфинг будет опасным, если я знаю, что доверяю ключу? Я использую аутентификацию открытого ключа для входа в систему, что делает его настолько, что вредоносный сервер не может получить пароль, но что, если бы я использовал пароли? – Azendale 14 June 2011 в 11:03
  • 5
    Использование аутентификации с открытым ключом действительно не защищает ваш пароль, сервер может MITM вы и получить ваш пароль, когда вы sudo или аналогичный. – remram 2 November 2015 в 03:33

В /etc/ssh/ssh_config добавьте строку

CheckHostIP no

Однако это отнимает бит Secure в SSH, потому что любая машина может скрываться за именем IP или DynDNS, к которому вы подключаетесь.

2
ответ дан 6 August 2018 в 03:30
  • 1
    Это не снимает никакой безопасности. Весь смысл хранения ключа хоста - идентифицировать другой компьютер. Имя и IP-адрес не имеют отношения к безопасности, если у вас есть ключ хоста. Удаление ложных сообщений на самом деле является преимуществом для обеспечения безопасности (ложные сообщения потребляют ваше внимание, что является дефицитным ресурсом). – Gilles 12 June 2011 в 15:14
  • 2
    @Gilles: manpage не согласен. Да, вы не теряете никакой безопасности для соединений, где нет известной связи между IP-хостами, в других случаях вы отказываетесь от защиты от атак подмены DNS (как указано в man-странице). – htorque 12 June 2011 в 16:28
  • 3
    Я не знаю, на какой странице вы ссылаетесь. Если это описание CheckHostIP, то нет, он не говорит, что вы отказываетесь от какой-либо защиты. С помощью CheckHostIP no, spoofer все еще должен получить закрытый ключ сервера, и если она сможет это сделать, маловероятно, что она также не сможет подделать свой IP-адрес. – Gilles 12 June 2011 в 16:56
  • 4
    Можете ли вы дать мне пример того, как DNS-спуфинг будет опасным, если я знаю, что доверяю ключу? Я использую аутентификацию открытого ключа для входа в систему, что делает его настолько, что вредоносный сервер не может получить пароль, но что, если бы я использовал пароли? – Azendale 14 June 2011 в 11:03
  • 5
    Использование аутентификации с открытым ключом действительно не защищает ваш пароль, сервер может MITM вы и получить ваш пароль, когда вы sudo или аналогичный. – remram 2 November 2015 в 03:33

В /etc/ssh/ssh_config добавьте строку

CheckHostIP no

Однако это отнимает бит Secure в SSH, потому что любая машина может скрываться за именем IP или DynDNS, к которому вы подключаетесь.

2
ответ дан 7 August 2018 в 21:18
  • 1
    Это не снимает никакой безопасности. Весь смысл хранения ключа хоста - идентифицировать другой компьютер. Имя и IP-адрес не имеют отношения к безопасности, если у вас есть ключ хоста. Удаление ложных сообщений на самом деле является преимуществом для обеспечения безопасности (ложные сообщения потребляют ваше внимание, что является дефицитным ресурсом). – Gilles 12 June 2011 в 15:14
  • 2
    @Gilles: manpage не согласен. Да, вы не теряете никакой безопасности для соединений, где нет известной связи между IP-хостами, в других случаях вы отказываетесь от защиты от атак подмены DNS (как указано в man-странице). – htorque 12 June 2011 в 16:28
  • 3
    Я не знаю, на какой странице вы ссылаетесь. Если это описание CheckHostIP, то нет, он не говорит, что вы отказываетесь от какой-либо защиты. С помощью CheckHostIP no, spoofer все еще должен получить закрытый ключ сервера, и если она сможет это сделать, маловероятно, что она также не сможет подделать свой IP-адрес. – Gilles 12 June 2011 в 16:56
  • 4
    Можете ли вы дать мне пример того, как DNS-спуфинг бы быть опасно, если я знаю, что я доверяю ключ? Я использую открытый ключ аутентификации для входа в систему, которая делает ее настолько вредоносный сервер не мог получить пароль, но что, если я использовал пароли? – Azendale 14 June 2011 в 11:03
  • 5
    Использование аутентификации с открытым ключом действительно не защищает ваш пароль, сервер может MITM вы и получить ваш пароль, когда вы sudo или аналогичный. – remram 2 November 2015 в 03:33

В /etc/ssh/ssh_config добавьте строку

CheckHostIP no

Однако это отнимает бит Secure в SSH, потому что любая машина может скрываться за именем IP или DynDNS, к которому вы подключаетесь.

2
ответ дан 7 August 2018 в 21:18
  • 1
    Это не снимает никакой безопасности. Весь смысл хранения ключа хоста - идентифицировать другой компьютер. Имя и IP-адрес не имеют отношения к безопасности, если у вас есть ключ хоста. Удаление ложных сообщений на самом деле является преимуществом для обеспечения безопасности (ложные сообщения потребляют ваше внимание, что является дефицитным ресурсом). – Gilles 12 June 2011 в 15:14
  • 2
    @Gilles: manpage не согласен. Да, вы не теряете никакой безопасности для соединений, где нет известной связи между IP-хостами, в других случаях вы отказываетесь от защиты от атак подмены DNS (как указано в man-странице). – htorque 12 June 2011 в 16:28
  • 3
    Я не знаю, на какой странице вы ссылаетесь. Если это описание CheckHostIP, то нет, он не говорит, что вы отказываетесь от какой-либо защиты. С помощью CheckHostIP no, spoofer все еще должен получить закрытый ключ сервера, и если она сможет это сделать, маловероятно, что она также не сможет подделать свой IP-адрес. – Gilles 12 June 2011 в 16:56
  • 4
    Можете ли вы дать мне пример того, как DNS-спуфинг будет опасным, если я знаю, что доверяю ключу? Я использую аутентификацию открытого ключа для входа в систему, что делает его настолько, что вредоносный сервер не может получить пароль, но что, если бы я использовал пароли? – Azendale 14 June 2011 в 11:03
  • 5
    Использование аутентификации с открытым ключом действительно не защищает ваш пароль, сервер может MITM вы и получить ваш пароль, когда вы sudo или аналогичный. – remram 2 November 2015 в 03:33

В / etc / ssh / ssh_config добавьте строку 

  CheckHostIP no

Однако это отнимает немного из Secure в SSH, потому что любая машина может скрываться за именем IP или DynDNS, к которому вы подключаетесь.

2
ответ дан 10 August 2018 в 09:36

В / etc / ssh / ssh_config добавьте строку 

  CheckHostIP no

Однако это отнимает немного из Secure в SSH, потому что любая машина может скрываться за именем IP или DynDNS, к которому вы подключаетесь.

2
ответ дан 13 August 2018 в 15:47
  • 1
    Это не снимает никакой безопасности. Весь смысл хранения ключа хоста - идентифицировать другой компьютер. Имя и IP-адрес не имеют отношения к безопасности, если у вас есть ключ хоста. Удаление ложных сообщений на самом деле является преимуществом для обеспечения безопасности (ложные сообщения потребляют ваше внимание, что является дефицитным ресурсом). – Gilles 12 June 2011 в 15:14
  • 2
    @Gilles: manpage не согласен. Да, вы не теряете никакой безопасности для соединений, где нет известной связи между IP-хостами, в других случаях вы отказываетесь от защиты от атак подмены DNS (как указано в man-странице). – htorque 12 June 2011 в 16:28
  • 3
    Я не знаю, на какой странице вы ссылаетесь. Если это описание CheckHostIP , то нет, он не говорит, что вы отказываетесь от какой-либо защиты. С помощью CheckHostIP no , spoofer все еще должен получить закрытый ключ сервера, и если она сможет это сделать, маловероятно, что она также не сможет подделать свой IP-адрес. – Gilles 12 June 2011 в 16:56
  • 4
    Можете ли вы дать мне пример того, как DNS-спуфинг будет опасным, если я знаю, что доверяю ключу? Я использую аутентификацию открытого ключа для входа в систему, что делает его настолько, что вредоносный сервер не может получить пароль, но что, если бы я использовал пароли? – Azendale 14 June 2011 в 11:03
  • 5
    Использование аутентификации с открытым ключом действительно не защищает ваш пароль, сервер может MITM вы и получить ваш пароль, когда вы sudo или аналогичные. – remram 2 November 2015 в 03:33

Другие вопросы по тегам:

Похожие вопросы: