Ricevo spesso server per la gestione temporanea e lo sviluppo. Mi collego a loro con SSH per il provisioning.
Durante il processo, distruggerò una VM, la ricostruirò e la eseguirò di nuovo con il nuovo script.
Un piccolo problema che ho è che il mio computer locale memorizza la vecchia chiave host e mi avverte che è stata modificata per il nome host o IP dopo che è stata ricostruita.
Questo è previsto e una buona cosa. Ma irritante.
Quindi devo ssh-keygen -R
dell'impronta digitale locale e provare a connetterti di nuovo per chiedergli di accettarne uno nuovo.
Questo è noioso. Così ho guardato e ho imparato che posso impostare alcune opzioni ssh come ssh -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no
Questo risolve il problema del mio flusso di lavoro, ma mi ha fatto chiedere quanto fosse sicuro l'intero processo.
Se accetto ciecamente ogni impronta digitale che un nuovo server mi invia, sto riducendo al minimo il potenziale di attacco dell'Uomo nel mezzo credendo ciecamente solo una volta e poi mi aspetto che sia lo stesso da lì in poi?
Oppure, oltre a far passare le chiavi del server attraverso un altro canale prima di connetterti la prima volta, c'è un modo per chiudere quel buco e sapere che l'impronta che sto ricevendo proviene effettivamente dal server che intendo?