Mengapa saya harus menggunakan "HashKnownHosts yes" di ssh_config?

Saya memiliki beberapa server dengan yes, beberapa lainnya tanpa di sini (saya hanya menemukan opsi ini hari ini).

Kelebihan dari HashKnownHosts no adalah saya dapat mengelola file known_hosts dengan lebih mudah.

Apa keuntungan faktual dari menggunakan HashKnownHosts ya?

File known_hosts mewakili risiko keamanan yang kecil. Ini berisi daftar nyaman semua server yang Anda hubungkan. Seorang penyerang yang mendapatkan akses ke kata sandi atau kunci pribadi Anda yang tidak dienkripsi hanya perlu mengulang daftar sampai kredensial Anda diterima. Hashing menyelesaikan ini atau setidaknya mengaburkan daftar.

Dengan cleartext known_hosts, penyerang akan dengan mudah mengetahui server mana yang Anda hubungkan. Ada sebuah artikel dan makalah MIT tentang potensi cacing ssh memanfaatkan yang dapat dibaca known_hosts. Tentu saja biasanya ada cara lain, namun lebih rumit untuk menentukan login ssh harian Anda, seperti riwayat shell Anda, yang bisa digunakan penyerang.

Perhatikan bahwa Anda masih dapat bekerja dengan hash known_hostsmenggunakan ssh-keygenprogram utilitas:

ssh-keygen -F myhost         # shows myhosts's line in the known_hosts file
ssh-keygen -l -F myhost      # additionally shows myhost's fingerprint
ssh-keygen -R myhost         # remove myhost's line from known_hosts

Ini, terutama perintah terakhir, harus mencukupi untuk 99% kasus yang benar-benar perlu diakses pengguna known_hosts. Anda akan kehilangan penyelesaian tab host ssh, tentu saja.

Perhatikan juga bahwa opsi baris perintah ssh-keygenpeka terhadap huruf besar-kecil

Ada juga pertanyaan yang relevan di unix.SE.