Qual è il vero inconveniente di "CheckHostIP no"?

Question

Qual è il vero inconveniente di "CheckHostIP no"?

#1 da (2 voti)

7

Quali sono le reali implicazioni sulla sicurezza dell'impostazione di CheckHostIP no nella configurazione del client SSH?

Ci sono alcune discussioni su questo (per esempio link ) e consigli per impostarlo su yes per una maggiore sicurezza (es. . link , link ), ma alcune persone dicono anche che non ha importanza per la sicurezza ( link ).

Quali tipi di attacchi sono possibili con CheckHostIP no che sono prevenuti / rilevati con CheckHostIP yes ?

Afterthought: does CheckHostIP no significa che la chiave SSH dell'host di destinazione non è selezionata affatto ? In tal caso, in che modo posso connettermi in modo sicuro a una macchina con indirizzo IP dinamico?

ssh ssh-host-key

posta oliver 08.06.2017 - 20:28

fonte

1 risposta

Leggi altre domande sui tag ssh ssh-host-key

Il keystore Android è ancora vulnerabile se viene ricevuto l'accesso root? Quali caratteristiche di sicurezza dovrebbe avere una smart TV?

score 2 · Accepted Answer

CheckHostIP no significa che ssh non controlla l'indirizzo IP dell'host nel file known_hosts. Pertanto, solo se CheckHostIP è impostato su no , un server DNS può restituire un indirizzo IP diverso come scritto nel file known_hosts senza un avviso del client ssh.

Ad esempio, una voce in un file known_hosts (non modificato) potrebbe essere:

www.example.org,1.2.3.4 ssh-rsa AAAA...njvPw==

Se CheckHostIP è impostato su no , un server DNS può restituire un IP diverso come 1.2.3.4 come indirizzo per www.example.org. Ma la chiave SSH è ancora controllata. CheckHostIP no significa solo aspettarsi che l'IP sia variabile e consentire il controllo dei codici con il nome host.

Quindi se (1) CheckHostIP è impostato su no e (2) un utente malintenzionato può controllare il DNS e (3) ha la chiave privata che può configurare un server che apparirà per prima come quello originale. Questo può essere negativo per la riservatezza. Pensa a un server di backup. Ma già se le precondizioni 2 + 3 sono soddisfatte un attaccante è in grado di compromettere il tuo sistema. Con CheckHostIP no sono possibili solo ulteriori attacchi.