Início / unix / Perguntas / 718485
Accepted
Manuel Jordan
Asked: 2022-09-24 13:25:45 +0800 CST

Como -H funciona no comando ssh-keyscan?

  • 772

Sobre o ssh-keyscancomando para a -Hopção de acordo com:

isso indica

 -H      Hash all hostnames and addresses in the output.  Hashed names may be used normally
         by ssh and sshd, but they do not reveal identifying information should the file's
         contents be disclosed.

Não entendo nem a ideia nem o seu propósito. É o motivo deste post. Por favor, você pode esclarecer seu uso?

Eu percebi para dois hosts diferentes, que se é executado

# Pair I
ssh-keyscan 192.168.1.x
ssh-keyscan 192.168.1.y

# Pair II
ssh-keyscan -H 192.168.1.x
ssh-keyscan -H 192.168.1.y

O primeiro par: para cada IP, a saída de cada chave pública aparece e indica o tipo de chave como dsa, ecdsa, ed25519e rsa.

O segundo par: para cada IP, aparece a saída para cada chave pública, e indicando o tipo de chave como dsa, ecdsa, ed25519e rsa- porém aparece no início para cada chave digite o |1|texto com algum texto aleatório

Pergunta:

  • Como -Hfunciona no ssh-keyscancomando?

Perguntas extras

  • Quando o uso é obrigatório -H?
  • O que significa |1| um texto aleatório ?

Lembre-se, |1| com algum texto aleatório aparece na saída para dois hosts diferentes, para cada tipo de chave. Então eu estou supondo que não é uma coincidência

Observação

Não estou compartilhando as saídas apenas por motivos de segurança

ssh openssh

1 respostas

  1. Best Answer

    O hashing unidirecional é anunciado como um meio de tornar mais difícil para um invasor saber para quais hosts você SSH deve se o invasor colocar as mãos em seu known_hostsarquivo. Aqui está o que ssh_config(5)diz:

     HashKnownHosts
         Indicates that ssh(1) should hash host names and addresses when
         they are added to ~/.ssh/known_hosts.  These hashed names may be
         used normally by ssh(1) and sshd(8), but they do not visually re-
         veal identifying information if the file's contents are dis-
         closed.  The default is no.

    Isso é segurança por meio da obscuridade, embora se incline para "boa obscuridade", pois pode tornar mais difícil para um invasor encontrar hosts adicionais para direcionar ou para alguém saber que você está se conectando a um sistema politicamente inadequado. Existem outras maneiras de encontrar essas informações (logs de firewall, registros de fluxo de rede, DNS etc.), mas um arquivo de texto sem hash de fácil leitura é ótimo para um invasor, e os outros meios podem não estar disponíveis ou podem demorar muito.

    (Você provavelmente também deve criptografar o disco para uma melhor "defesa em profundidade", embora isso não ajude se uma exploração de aplicativo permitir acesso direto ao sistema de arquivos montado ou se eles encontrarem sua tela desbloqueada etc.)

    • 1

relate perguntas