A parte mais importante da adição "segura" de uma chave ao known_hostsarquivo é obter a impressão digital da chave do administrador do servidor. A impressão digital da chave deve ser algo assim:

2048 SHA256:nThbg6kXUpJWGl7E1IGOCspRomTxdCARLviKw6E5SY8 github.com (RSA)

No caso do GitHub, normalmente não podemos falar diretamente com um administrador. No entanto, eles colocam a chave em suas páginas da web para que possamos recuperar as informações de lá.

Instalação manual da chave

1) Tire uma cópia da chave do servidor e obtenha sua impressão digital. NB: Faça isso antes de verificar a impressão digital.

$ ssh-keyscan -t rsa github.com | tee github-key-temp | ssh-keygen -lf -
# github.com:22 SSH-2.0-babeld-f3847d63
2048 SHA256:nThbg6kXUpJWGl7E1IGOCspRomTxdCARLviKw6E5SY8 github.com (RSA)

2) Obtenha uma cópia da impressão digital da chave do administrador do servidor - neste caso, navegue até a página com as informações no github.com

1. Acesse github.com
2. Vá para a página de ajuda (no menu à direita se estiver logado; na parte inferior da página inicial, caso contrário).
3. Na seção Introdução , vá para Conectando-se ao GitHub com SSH
4. Vá para Testando sua conexão SSH
5. Copie a impressão digital SHA256 dessa página em seu editor de texto para uso posterior.

3) Compare as chaves das duas fontes

Ao colocá-los diretamente um acima do outro em um editor de texto, é fácil ver se algo mudou

2048 SHA256:nThbg6kXUpJWGl7E1IGOCspRomTxdCARLviKw6E5SY8 github.com (RSA) #key recovered from github website
2048 SHA256:nThbg6kXUpJ3Gl7E1InsaspRomtxdcArLviKaEsTGY8 github.com (RSA) #key recovered with keyscan

(Observe que a segunda chave foi manipulada, mas é bastante semelhante à original - se algo assim acontecer, você está sob um ataque sério e deve entrar em contato com um especialista em segurança confiável.)

Se as chaves forem diferentes, aborte o procedimento e entre em contato com um especialista em segurança

4) Se as chaves forem comparadas corretamente, você deverá instalar a chave que você já baixou

cat github-key-temp >> ~/.ssh/known_hosts

Ou para instalar para todos os usuários em um sistema (como root):

cat github-key-temp >> /etc/ssh/ssh_known_hosts

Instalação automatizada de chaves

Se você precisar adicionar uma chave durante um processo de compilação, siga as etapas 1 a 3 do processo manual acima.

Feito isso, examine o conteúdo do seu github-key-temparquivo e crie um script para adicionar esse conteúdo ao seu arquivo de hosts conhecido.

if ! grep github.com ~/.ssh/known_hosts > /dev/null
then
     echo "github.com ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAq2A7hRGmdnm9tUDbO9IDSwBK6TbQa+PXYPCPy6rbTrTtw7PHkccKrpp0yVhp5HdEIcKr6pLlVDBfOLX9QUsyCOV0wzfjIJNlGEYsdlLJizHhbn2mUjvSAHQqZETYP81eFzLQNnPHt4EVVUh7VfDESU84KezmD5QlWpXLmvU31/yMf+Se8xhHTvKSCZIFImWwoG6mbUoWf9nzpIoaSjB+weqqUUmpaaasXVal72J+UX2B+2RPW3RcT0eOzQgqlJL3RKrTJvdsjE3JEAvGq3lGHSZXy28G3skua2SmVi/w4yCE6gbODqnTWlg7+wC604ydGXA8VJiS5ap43JXiUFFAaQ==" >> ~/.ssh/known_hosts
fi

Agora você deve se livrar de todos os sshcomandos que foram StrictHostKeyCheckingdesativados.

Você pode misturar entradas com hash/sem hash em seu arquivo known_hosts.

Então, se você quiser adicionar a chave do github, basta fazer:

ssh-keyscan github.com >> ~/.ssh/known_hosts

Se você quiser hash, adicione -H

ssh-keyscan -H github.com >> ~/.ssh/known_hosts

Nota: isso é vulnerável ao ataque MITM, responde apenas à parte "Relacionado" da pergunta.

A maneira mais fácil é buscar manualmente as chaves usando ssh-keyscan, verifique-as manualmente:

$ ssh-keyscan -t rsa github.com | ssh-keygen -lf -
# github.com:22 SSH-2.0-libssh-0.7.0
2048 SHA256:nThbg6kXUpJWGl7E1IGOCspRomTxdCARLviKw6E5SY8 github.com (RSA)

E adicione-os ao seu script, que carregará a chave pública "autorizada".

Eu escrevi um script simples (add_to_known_hosts) para lidar com isso:

Ele não criará entradas duplicadas no arquivo known_hosts e verificará se a impressão digital corresponde a uma fornecida como segundo argumento.

#!/usr/bin/env bash
# The first argument should be hostname (or IP)
# The second argument should be the SSH fingerprint from the server admin.
# Example: add_to_known_hosts github.com SHA256:nThbg6kXUpJWGl7E1IGOCspRomTxdCARLviKw6E5SY8

host=$1
fingerprint=$2

ip=$(getent hosts $1 | awk '{ print $1 }')
echo $ip

keys=$(ssh-keyscan -t rsa $host $ip)

# Iterate over keys (host and ip)
while IFS= read -r key; do
    # Extract Host name (or IP)
    key_host=$(echo $key | awk '{ print $1 }')

    # Extracting fingerprint of key
    key_fingerprint=$(echo $key | ssh-keygen -lf - | awk '{ print $2 }')

    # Check that fingerprint matches one provided as second parameter
    if [[ $fingerprint != $key_fingerprint ]]; then
      echo "Fingerprint match failed: '$fingerprint' (expected) != '$key_fingerprint' (got)";
      exit 1;
    fi
    
    # Add key to known_hosts if it doesn't exist
    if ! grep $key_host ~/.ssh/known_hosts > /dev/null
    then
       echo "Adding fingerprint $key_fingerprint for $key_host to ~/.ssh/known_hosts"
       echo $key >> ~/.ssh/known_hosts
    fi
done <<< "$keys"

Agora que o GitHub fornece suas chaves SSH e impressões digitais por meio do endpoint da API de metadados (a partir de janeiro de 2022), você pode aproveitar a confiança que tem no certificado TLS do GitHub usado api.github.com(por ser assinado por uma autoridade de certificação (CA) que está em armazenamento de certificados raiz confiável do seu sistema) para buscar com segurança suas chaves de host SSH.

Se você jqinstalou, pode fazê-lo com este one-liner

curl --silent https://api.github.com/meta \
  | jq --raw-output '"github.com "+.ssh_keys[]' >> ~/.ssh/known_hosts

Ou se você quiser usar Python

curl --silent https://api.github.com/meta | \
  python3 -c 'import json,sys;print(*["github.com " + x for x in json.load(sys.stdin)["ssh_keys"]], sep="\n")' \
  >> ~/.ssh/known_hosts

Automatizando a verificação de impressão digital SSH Known_Hosts

Estou tentando fazer isso em Python no Jupyterhub há algum tempo, mas a resposta de @Michael foi muito útil!

Sejamos claros - por design, esta etapa para confirmar que um host conhecido NÃO deve ser automatizado, dada a suscetibilidade a ataques man in the middle (mais informações aqui , mas deve ser óbvio por que isso é uma preocupação).

Verificando manualmente SSH RSA Fingerprint para GitHub.com com Python e Bash

A solução insegura -o "StrictHostKeyChecking no"foi boa para testes, mas feliz por ter uma alternativa.

• Observe que eu uso !bang no Jupyter para invocar o comando bash para ssh-keyscan&cat

# MANUALLY GET TRUSTED RSA FINGERPRINT FOR GITHUB
# https://docs.github.com/en/github/authenticating-to-github/githubs-ssh-key-fingerprints

rsa_pubkey_fingerprint = 'SHA256:nThbg6kXUpJWGl7E1IGOCspRomTxdCARLviKw6E5SY8'

# Get the host rsa info for github, write to a file
# pipe to get the RSA FingerPrint, and finally write that fingerprint to file

!ssh-keyscan -t rsa github.com | tee ./github_ssh_test | ssh-keygen -lf - >> ./fingerprint_rsa

Assert Fingerprints match para confirmar hosts conhecidos

Agora você pode usar uma declaração python para garantir a autenticidade de nossa impressão digital RSA confiável versus a impressão digital RSA digitalizada pela Internet:

assert(rsa_pubkey_fingerprint == open("./fingerprint_rsa", "r").read().split()[1])

# if the assertion passes and the trusted matches the scanned
# it'll write to your known_hosts file!

!cat ./github_ssh_test >> $HOME/.ssh/known_hosts

# you are now good to test your SSH connection
!ssh -T [email protected]

Obrigado e uma solução muito melhor para ignorar a verificação rigorosa!

Se você quiser verificar se a chave existe antes de gerar uma nova:

ssh-keygen -F github.com || ssh-keyscan github.com >> ~/.ssh/known_hosts

Além disso, no meu caso, tive que mencionar uma porta específica:

ssh-keygen -F "[<host>]:<port>" || ssh-keyscan -p <port> <host> >> ~/.ssh/known_hosts

Para gerar o arquivo known_hosts, após gerar suas chaves privada e pública e copiar a chave pública para site.com, você pode fazer

ssh -T [email protected]