LINUX.ORG.RU

SSH ограничить known_hosts

 ,


0

3

Привет,

У меня есть вопрос по SSH:

Есть ли возможность запретить соединяться к серверам, не внесенными в /etc/ssh/ssh_known_hosts ? А так же запретить использовать ~/.ssh/known_hosts ? То есть в /etc/ssh/ssh_known_hosts внесены serverA и serverB, то только к этим серверам есть доступ и только с внесенными hostkeys.

Зачем это надо: что бы только администратор мог актуализировать новые hostkeys (скажем если произошла переустановка ОС и у сервера обновились hostkeys, то пользователя спросится

user1@hl02:~$ ssh user1@serverB
The authenticity of host 'serverB (172.22.1.20)' can't be established.
ECDSA key fingerprint is SHA256:WK8wd1vTkd6e8cOzOpNSQ3yqOZqn7Nmud3UBTi4AUTo.
Are you sure you want to continue connecting (yes/no)?

И с ответом yes он обойдет центральный файл..

Спасибо за ответ


man ssh_config:

     StrictHostKeyChecking
             If this flag is set to yes, ssh(1) will never automatically add host keys to the
             ~/.ssh/known_hosts file, and refuses to connect to hosts whose host key has changed. [..]

ЗЫ: читаю маны, громо, с выражением, вслух. дорого

beastie ★★★★★
()
Последнее исправление: beastie (всего исправлений: 2)
Ответ на: комментарий от beastie

ЗЫ: читаю маны, громо, с выражением, вслух. дорого

С ирландским акцентом?

UVV ★★★★★
()
Ответ на: комментарий от beastie

И я читаю тоже.. К сожалению это можно следующим образом легко обойти:

user1@hl02:~$ ssh -o «StrictHostKeyChecking=ask» user1@serverB

по этому этот вариант к сожалению не подходит

Igorek
() автор топика
Последнее исправление: Igorek (всего исправлений: 1)

А что мешает в iptables сделать режим по-умолчанию «запрещено» и разрешить соединения только с теми серверами, с которыми явно указано?

anonymous
()
Ответ на: комментарий от anonymous

Iptables не совсем хорошее решении, так как Ip адрес можно легко поменять и вместо настоящего serverB окажется левый какой-либо. Ответа «yes» пользователя на сообщение о изменившемся hostkey будет достаточно.

Эту проблему можно было бы с hostkeys легко решить, если бы была нормальная возможность контроля известных/неизвестных ключей. О чем собственно и вопрос

Igorek
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.