Apakah ada risiko keamanan untuk mengungkapkan file SSH known_hosts Anda?

32

Saya berbicara di konferensi minggu depan tentang beberapa alat perangkat lunak yang saya buat. Laptop saya akan ditampilkan di layar proyektor selama presentasi ini. Presentasi akan direkam dan diposting di youtube. Jika, karena alasan tertentu, saya memiliki kesempatan untuk membuka dan mengedit ~/.ssh/known_hostsfile saya selama presentasi ini, haruskah saya melepas proyektor saat melakukannya? Apakah ada risiko keamanan untuk mengungkapkan file diketahui_hosts saya?

ssh ssh-keys known-hosts Matt Korostoff
sumber
7
Mengapa tidak ganti saja foto asli Anda known_hostsdengan yang palsu saat presentasi?
Sven
1
... atau jika Anda tidak mengecek sidik jari host terlebih dahulu, gunakan sesuatu seperti ssh -oUserKnownHostsFile=/dev/null -oStrictHostKeyChecking=no user@hostuntuk mem-bypass pertanyaan sidik jari dan hindari cek terhadap host yang dikenal.
Lekensteyn
@Bahkan file diketahui_hosts bukan bagian dari presentasi itu sendiri, hanya saja perangkat lunak yang saya tunjukkan kadang-kadang mengharuskan saya untuk mengedit hosting diketahui saya. Penonton tidak perlu melihat ini (jadi saya akan menggunakan pengeditan buta seperti yang disarankan beberapa komentator di sini) tetapi mengedit file fake_hosts palsu tidak akan mencapai tujuan saya.
Matt Korostoff

Jawaban:

43

File known_hosts berisi kunci publik tepercaya untuk host yang terhubung dengan Anda di masa lalu. Kunci publik ini dapat diperoleh hanya dengan mencoba menyambungkan ke host ini. Oleh karena itu tidak ada risiko keamanan per se.

Tetapi: Ini berisi riwayat host yang terhubung dengan Anda. Informasi tersebut dapat digunakan oleh penyerang potensial untuk infrastruktur jejak organisasi misalnya. Juga menginformasikan calon penyerang bahwa Anda mungkin memiliki akses ke host tertentu dan mencuri laptop Anda akan memberi mereka akses juga.

Sunting: Untuk menghindari menampilkan file known_hosts Anda, saya sarankan Anda menggunakan ssh-keygenutilitas. ssh-keygen -R ssh1.example.orgmisalnya menghapus kunci tepercaya untuk ssh1.example.orgdari hosting Anda dikenal.

Richard
sumber
15

Tidak ada yang berbahaya tentang ini. Namun, Anda mungkin tidak ingin mengungkapkan informasi identitas ini. Terkadang keberadaan tuan rumah mengungkapkan garis serangan yang baik bagi mereka yang cenderung. Anda dapat menggunakan HashKnownHosts, atau mengedit file tanpa melihatnya.

Edit buta:
sed -i 25d .ssh/known_hostsakan menghapus baris 25 tanpa meletakkan konten apa pun di layar.

HashKnownHosts
Menunjukkan bahwa ssh (1) harus meng-hash nama dan alamat host ketika ditambahkan ke ~ / .ssh / known_hosts. Nama-nama hash ini dapat digunakan secara normal oleh ssh (1) dan sshd (8), tetapi mereka tidak mengungkapkan informasi pengidentifikasi jika konten file diungkapkan. Standarnya adalah "tidak". Perhatikan bahwa nama dan alamat yang ada dalam file host yang dikenal tidak akan dikonversi secara otomatis, tetapi dapat di hash secara manual menggunakan ssh-keygen (1).

84104
sumber
4
Alih-alih menghitung secara manual nomor baris dan menghapusnya dengan sed, Anda juga dapat menggunakan ssh-keygen -R example.com.
Lekensteyn
4
Anda juga dapat menggunakan ssh-keygen -H -f ~/.ssh/known_hostsuntuk hash semua nama / alamat dalam file.
Barmar