Qual è il vero inconveniente di "CheckHostIP no"?

7

Quali sono le reali implicazioni sulla sicurezza dell'impostazione di CheckHostIP no nella configurazione del client SSH?

Ci sono alcune discussioni su questo (per esempio link ) e consigli per impostarlo su yes per una maggiore sicurezza (es. . link , link ), ma alcune persone dicono anche che non ha importanza per la sicurezza ( link ).

Quali tipi di attacchi sono possibili con CheckHostIP no che sono prevenuti / rilevati con CheckHostIP yes ?

Afterthought: does CheckHostIP no significa che la chiave SSH dell'host di destinazione non è selezionata affatto ? In tal caso, in che modo posso connettermi in modo sicuro a una macchina con indirizzo IP dinamico?

    
posta oliver 08.06.2017 - 22:28
fonte

1 risposta

2

CheckHostIP no significa che ssh non controlla l'indirizzo IP dell'host nel file known_hosts. Pertanto, solo se CheckHostIP è impostato su no , un server DNS può restituire un indirizzo IP diverso come scritto nel file known_hosts senza un avviso del client ssh.

Ad esempio, una voce in un file known_hosts (non modificato) potrebbe essere:

www.example.org,1.2.3.4 ssh-rsa AAAA...njvPw==

Se CheckHostIP è impostato su no , un server DNS può restituire un IP diverso come 1.2.3.4 come indirizzo per www.example.org. Ma la chiave SSH è ancora controllata. CheckHostIP no significa solo aspettarsi che l'IP sia variabile e consentire il controllo dei codici con il nome host.

Quindi se (1) CheckHostIP è impostato su no e (2) un utente malintenzionato può controllare il DNS e (3) ha la chiave privata che può configurare un server che apparirà per prima come quello originale. Questo può essere negativo per la riservatezza. Pensa a un server di backup. Ma già se le precondizioni 2 + 3 sono soddisfatte un attaccante è in grado di compromettere il tuo sistema. Con CheckHostIP no sono possibili solo ulteriori attacchi.

    
risposta data 11.07.2017 - 13:27
fonte

Leggi altre domande sui tag