关于这个选项有很多讨论,大多数人认为“它可以提高安全性”、“它可以保护您免受中间人攻击/DNS 欺骗”等,但我看不出这是怎么回事。ssh_config(5)
说这个选项
“允许 ssh 检测主机密钥是否因 DNS 欺骗而更改”
但它似乎仍然模糊甚至误导,因为 1)该选项不会检测“主机密钥是否已更改”,但仅在主机的 IP 已更改时才会检测到,2)它没有详细说明它在检测到时会做什么这样的事情(例如,它会阻止连接发生吗?)。
由于文档的模糊性,其他人甚至似乎认为这不会CheckHostIP=yes
让您连接到已更改其 IP 的主机(即它具有与已记录的 IP 不同的 IP ),这是完全不真实的,在至少据我自己的测试可以理解。known_hosts
- 当我
CheckHostIP=yes
(默认)连接到主机密钥已存储在known_hosts
中但已更改其 IP 的远程服务器时,连接正常进行但我收到警告:
“永久添加了 IP 地址的 ECDSA 主机密钥 [......]”
还添加了一个新行known_hosts
,其中包含服务器的主机密钥(未更改)和新的 IP 地址(不同)。如果主机稍后再次更改其 IP 并且我使用 连接到它CheckHostIP=yes
,则会在 中追加一个新行known_hosts
,依此类推。
- 如果我连接
CheckHostIP=no
到已更改其 IP 地址的服务器,则连接会继续进行(这也是发生的情况CheckHostIP=yes
),但这次没有警告,也没有在known_hosts
.
yes
因此,和之间的唯一区别no
似乎只是连接时的简单单行警告,以及known_hosts
每次主机更改其 IP 时记录的新地址(有效地保留服务器不同 IP 的历史记录)。
如果是这种情况,那么我什至不确定这CheckHostIP=yes
是否比 更好CheckHostIP=no
,因为如果客户端计算机受到威胁,攻击者将能够从中推断出known_hosts
1) 具有主机密钥 X 的服务器具有动态 IP,以及 2) 它已更改其 IP 地址 Y 次。显然这并不多,我怀疑攻击者实际上可以用那一点信息做一些事情,但这是不会发生的信息泄漏CheckHostIP=no
。
我已经使用两个具有动态 IP 的独立 ssh 服务器尝试了上述操作(我使用免费的 DDNS 服务连接到它们)。
SSH 专家能否向我确认这是所有保护措施CheckHostIP=yes
(甚至不要求用户交互的警告),或者如果我对某事有严重错误,请纠正我?我是否应该始终保持CheckHostIP=no
与我知道会随着时间而改变其 IP 的服务器的连接?
一位“SSH 大师”肯定了您的立场。
SSH v8.5(2021 年 3 月 3 日发布)继续执行并
CheckHostIP
关闭此更改日志消息:如果您仍然感到不安,您可以为具有动态 IP 的主机关闭它。
我个人认为你正在与一个可以
…但不知何故,当连接到每次都向您显示该警告的主机时,“警告:永久添加的主机密钥”消息会保存您。