ssh known host hashing

21/10/2016 - 17:08 von Marc Haber | Report spam
Hallo,

Debian und Derivate setzen im OpenSSH-Client HashKnownHosts auf yes.
Das führt dazu, dass tab-expansion für Hostnamen nur noch
funktioniert, wenn der Host in der /etc/host oder in $HOSTFILE
gelistet ist.

Das soll dazu da sein, die Ziele meiner ssh-Operationen geheim zu
halten, für den Fall, dass mein ssh-Key kompromittiert wird.

Ich tendiere dazu, HashKnownHosts wieder auf "no" zu setzen, damit ich
Hostname Expansion in der Shell nutzen kann. Die Hosts, auf die ich
mit ssh connecte, lassen sich aus .bash_history, .ssh/config, netstat
und durch Beobachtung des IP-Verkehrs ablesen.

Gibt es weitere Argumente, um HashKnownHosts auf "yes" stehen zu
lassen?

Grüße
Marc
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
 

Lesen sie die antworten

#1 dseppi
21/10/2016 - 19:47 | Warnen spam
Marc Haber schrieb:

Ich tendiere dazu, HashKnownHosts wieder auf "no" zu setzen, damit ich
Hostname Expansion in der Shell nutzen kann.



Das ist auch eines der ersten Schritte, die ich bei neu installierten
Debian- oder Ubuntu-Systemen mache. Das erleichtert auch die Wartung
der Datei bzw. die Übernahme bestimmter Eintràge für andere Systeme.

Die Hosts, auf die ich
mit ssh connecte, lassen sich aus .bash_history, .ssh/config, netstat
und durch Beobachtung des IP-Verkehrs ablesen.



Genau das. Zwar nicht so komfortabel, aber leicht genug.

Gibt es weitere Argumente, um HashKnownHosts auf "yes" stehen zu
lassen?



Du könntest verhindern, daß entsprechende Eintràge in .bash_history
und ~/.ssh/config vorhanden sind. netstat und tcpdump funktionieren
dann zwar immer noch, aber nur für aktuelle bzw. wàhrend der Überwachung
bestehende Verbindungen. Vergangene Verbindungen werden dadurch geheim
gehalten, solange .ssh/known_hosts nur gehashte Eintràge hat.
Der kleine Mehrgewinn an Sicherheit ist mir aber nicht wert dafür jedes
Mal den kompletten ssh-Befehl neu tippen zu müssen.

David Seppi
1220 Wien

Ähnliche fragen