Redian新闻
>
关于 Linux 中 known_hosts 文件的必知必会

关于 Linux 中 known_hosts 文件的必知必会

公众号新闻
如果你经常使用 Linux 系统 ssh 到一个远程服务器,在主目录中一般会有一个 .ssh 文件夹,在这个文件夹中会有若干个文件,其中包括一个 known_hosts 文件:
$ ls -l .sshtotal 16-rwxr-xr-x 1 abhishek abhishek  618 Aug 30 16:52 config-rw------- 1 abhishek abhishek 1766 Nov 12  2017 id_rsa-rw-r--r-- 1 abhishek abhishek  398 Nov 12  2017 id_rsa.pub-rw------- 1 abhishek abhishek    1 Sep 26 15:00 known_hosts

这里,id_rsa 是你 ssh 的私钥,id_rsa.pub 为ssh公钥,config 文件用于创建概要信息,以便进行 ssh 连接。

本文重点要介绍的,是上述列表中的最后一个文件,known_hosts,它是客户端 ssh 配置文件的重要组成部分。

SSH中的 known_hosts 文件是什么

known_hosts 文件存储用户访问的主机的公钥。这是一个非常重要的文件,它通过将用户的身份保存到本地系统来确保用户连接到合法的服务器。这也有助于避免中间人攻击。

当你通过SSH连接到一个新的远程服务器时,系统会提示你是否要将远程主机添加到 known_hosts 文件:
The authenticity of host '194.195.118.85 (194.195.118.85)' can't be established.ED25519 key fingerprint is SHA256:wF2qILJg7VbqEE4/zWmyMTSwy3ja7be1jTIg3WzmpeE.This key is not known by any other namesAre you sure you want to continue connecting (yes/no/[fingerprint])?

选择 yes,服务器的连接信息会保存在你的系统中。

避免中间人攻击

我们假设你经常连接某个服务器,且将该服务器的连接信息保存在了 know_hosts 文件中。

如果远程服务器的公钥发生了更改,你的系统会根据 known_hosts 文件中存储的信息记录此次更改,你也会收到此更改的通知:
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ WARNING: POSSIBLE DNS SPOOFING DETECTED!@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@The RSA host key for xyz remote host has changed,and the key for the corresponding IP address xxx.yy.xxx.yy is unknown. This could either mean that DNS SPOOFING is happening or the IP address for the host and its host key have changed at the same time.@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!Someone could be eavesdropping on you right now (man-in-the-middle attack)!It is also possible that the RSA host key has just been changed.The fingerprint for the RSA key sent by the remote host is69:4e:bb:70:6a:64:e3:78:07:6f:b4:00:41:07:d8:9c.Please contact your system administrator.Add correct host key in /home/.ssh/known_hosts to get rid of this message.Offending key in /home/.ssh/known_hosts:1Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks.

在这种情况下,你可以在接受这个新密钥之前联系远程服务器的管理员,以便确保远程服务器没有受到入侵。

有时候,管理员可能会由于重新安装服务器而故意更改服务器(主机)的密钥。

无论更改的原因是什么,你都需要首先从 known_hosts 文件中删除旧密钥,以便重新连接到远程服务器。下次连接到此服务器时,客户端主机将为此服务器创建新的主机密钥。

管理多个经过身份验证的用户

如前所述,一旦客户机主机成功连接到远程服务器,其 known_hosts 文件将附加服务器的公钥。

有时,你可能会希望对服务器进行身份验证,而不需要提示进行服务器密钥验证。例如,你正在运行 Ansible 之类的配置管理工具,并且不希望客户端主机请求服务器密钥验证。

因此,如果你有多个用户,可以使用三种方式绕过SSH交互提示:

1)手动将服务器的公钥附加到每个用户的known_hosts文件中;

2)通过 ssh 访问服务器时,对每个客户端都使用命令行设置参数 -o StrictHostKeyChecking=no(不推荐);

3)在主 ssh_known_hosts 文件中注册所有主机,然后将此文件编排到所有客户端主机,然后使用 ssh-keyscan 命令:
ssh-keyscan -H -t rsa ‘your-server-ip’ >> /etc/ssh/ssh_known_hosts

下图显示了如何使用 StrictHostKeyChecking=no 选项:

上述方法中,第一种方法相比于另外两种方法,操作起来更加繁琐。

从 known_hosts 文件获取远程系统详细信息

获取远程系统的详细信息,不是一个简单的工作。

基于安全考虑,几乎所有 Linux 系统都会将 ssh 配置文件中的 HashKnownHosts 参数设置为 yes

这也就意味着在 known_hosts 文件中的信息是以 hash 方式存储的,你可能会看到一些随机数,但这并不能提供任何有用的信息。
$ cat .ssh/known_hosts
|1|yWIW17YIg0wBRXJ8Ktt4mcfBqsk=|cFHOrZ8VEx0vdOjau2XQr/K7B/c= ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIFR293PJnDCj59XxfqYGctrMo60ZU5IOjACZZNRp9D6f|1|Ta7hoH/az4O3l2dwfaKh8O2jitI=|WGU5TKhMA+2og1qMKE6kmynFNYo= ssh-rsa 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|1|NonAy25kVXL24U2mx6ZNxAY5m98=|ypf0IMpf3qq3vhrvUMprssOhODs= ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBE3br/9jaZfdB+qBxiVEZBJMb4XQONwzV4tH1xeFZX/zkyws2eBHrVO9O5l9b6M6+gO6nBtCwAzzaeLOn6mo8GQ=

如果你知道系统的主机名或IP地址,则可以从 known_hosts 获取相关信息:
ssh-keygen -l -F <server-IP-or-hostname>
但是,如果你想要一个能够以明文形式列出的所有服务器及其详细信息的命令,那是不可能的。

当然,现实中会有一些专门的工具可以破译 known_hosts,但这不是普通用户可以做到的。

从known_hosts中删除信息

如果想要从 known_hosts 文件中删除某个特定的主机信息,可以根据远程系统的主机名或 IP 执行这个操作:
ssh-keygen -R <server-hostname-or-ip>
当然也可以先识别相关服务器的信息,然后使用 rm 命令手动删除,但是这个操作要麻烦的多,远不如使用上述命令方便。

通过了解 ssh 相关的配置文件,有助于更好的理解系统安全相关知识。known_hosts 正是系统安全相关的重要组成部分。

以上就是本次分享全部内容,欢迎讨论。


链接:https://linuxhandbook.com/known-hosts-file/

(版权归原作者所有,侵删)


微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
周末随笔Knock~Knock~$20.4亿!恭喜你!中奖后才是悲剧的开始...解决 Linux 中的 “Bash: Command Not Found” 报错 | Linux 中国[参赛作品] [第四届桌面Show活动]——by mkkkno11.1入住|Downtown近Suffok/Emerson和橙线地铁站高级公寓两室一厅4000,接本科生用惯 Linux 的人第一次用 Windows 或 macOS 会怎样? | Linux 中国【租房】1.1入住 | Downtown近Suffok/Emerson和橙线地铁站|高级公寓两室一厅|租金4000|接本科生类似 Notion 的 Markdown 笔记应用黑曜石推出测试版 | Linux 中国我珍藏多年的约会宝典(多图)关于 Linux 和 Git 的创造者 Linus Torvalds 的 20 件趣事 | Linux 中国【租房推荐】Chinatown近Downtown高级公寓楼推荐如何在 Arch Linux 中安装 OpenOffice(新手指南) | Linux 中国美国 6 个自己立遗嘱的网站服务2022DownTown全新高级公寓 | 包杂费包家具 | 研究生看过来!萨福克 爱默生 NEU BU 伯克利学生必看【租房】1.1入住|2b1b|Downtown近Suffok/Emerson和橙线地铁站|高级公寓两室一厅|$4000|接本科生很多失败的根本原因是没有「Know how」GNOME “文件”引入最受欢迎的功能:“新建文件”菜单 | Linux 中国USC Downtown免免免免租|这个数?在 LA Downtown住进心愿单里的家Rosalía 登意大利版《VOGUE》封面!操作系统人机对话!Linux OS大谈Windows与macOS:值得学习,但被Linux碾压迷幻巨型投影照亮旧金山 downtown【租房】12.1入住 1B1B|Downtown近Suffok/Emerson|橙线地铁站|接本科生Linux运维必知必会的Go语言核心知识,找齐了 | 极客时间【近Suffolk/Emerson公寓,12-1月入住,落地窗采光佳】Downtown地区Winter St.|无忧精选公寓楼在 Linux 上试试这个 Java 文件管理器 | Linux 中国使用 PSCP 将文件和文件夹从 Windows 传输到 Linux | Linux 中国Rhino Linux:滚动发布但也很稳定的 Ubuntu | Linux 中国为什么你要在 Linux 上尝试 Nemo 文件管理器? | Linux 中国12.1入住|Downtown近Suffok/Emerson和橙线地铁站高级公寓一室一厅3200,接本科生The Lesser-Known Cradle of Chinese Civilization一个人的徒步。900公里法国之路+世界尽头:D34~今晚住帐篷System 76 将不会发布 Pop!_OS 22.10 Linux 发行版 | Linux 中国使用这个多功能的 Linux 命令转换音频文件 | Linux 中国Gnoppix Linux 22.12 发布 | Linux 中国Most Beautiful Duets Ever(四)
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。