Perché il file ssh 'known_hosts' ha bisogno del nome del server?

0

Quando spingo / sposto i repository su GitHub su SSH, a volte viene visualizzato un messaggio sul server non identificato e viene chiesto se desidero fidarmi e aggiungerlo a known_hosts. Apparentemente questo è dovuto al fatto che GitHub ha più IP.

Quello che non capisco è il motivo per cui SSH deve registrare il nome host in known_hosts . Quando uso la mia chiave privata per autenticarmi su GitHub, non ho bisogno di presentare un nome IP / dominio a GitHub. Perché SSH non può autenticare il server come originale con solo la sua chiave?

    
posta Siyuan Ren 21.09.2014 - 13:36
fonte

2 risposte

1

Supponiamo che tu abbia ipotetiche known_hosting_keys voci sia per nsa.gov che per github.com.

Ora evil.net si infiltra entrambi su github.com e ottiene anche il controllo a livello MITM sulla tua connessione Internet / DNS.

Ora esegui ssh in nsa.gov, e evil.net ti presenta le credenziali rubate di github.com, e il tuo client ssh passa ciclicamente attraverso i tuoi tasti known_hosting_keys finché non trova quello che corrisponde e accetta la connessione.

Ora sei connesso a evil.net pensando che sia nsa.gov a causa di una violazione a una terza parte.

Forse questo è un rischio che sei disposto a prendere, ma non è uno dei progettisti di ssh.

Il mio file known_hosts specifica github.com per nome, oltre che per indirizzo IP, e non ho mai avuto il problema che descrivi. A meno che non modifichi intenzionalmente il file per causare il problema.

    
risposta data 23.09.2014 - 22:31
fonte
1

L'intero punto in cui è presente un known_hosts è di mantenere un record di chiavi associate all'host a cui appartengono. Per essere più precisi, registra la chiave associata al nome host a cui hai provato a connettersi con il comando ssh , scp o sftp . Ti aiuterà a evitare gli attacchi MITM, poiché qualsiasi comando basato su SSH ti avviserà se la chiave del server è cambiata da quando l'ha registrata nel tuo known_hosts .

Se usi lo stesso hostname e presenta la stessa chiave, non importa se ha più IP o meno.

    
risposta data 21.09.2014 - 15:05
fonte

Leggi altre domande sui tag