SSH ограничить known_hosts

0

3

Привет,

У меня есть вопрос по SSH:

Есть ли возможность запретить соединяться к серверам, не внесенными в /etc/ssh/ssh_known_hosts ? А так же запретить использовать ~/.ssh/known_hosts ? То есть в /etc/ssh/ssh_known_hosts внесены serverA и serverB, то только к этим серверам есть доступ и только с внесенными hostkeys.

Зачем это надо: что бы только администратор мог актуализировать новые hostkeys (скажем если произошла переустановка ОС и у сервера обновились hostkeys, то пользователя спросится

user1@hl02:~$ ssh user1@serverB
The authenticity of host 'serverB (172.22.1.20)' can't be established.
ECDSA key fingerprint is SHA256:WK8wd1vTkd6e8cOzOpNSQ3yqOZqn7Nmud3UBTi4AUTo.
Are you sure you want to continue connecting (yes/no)?

И с ответом yes он обойдет центральный файл..

Спасибо за ответ

Ссылка

←	Как подменять/редактировать видео в камере в реальн. времени?

имитировать физический обрыв связи

→

man ssh_config:

     StrictHostKeyChecking
             If this flag is set to yes, ssh(1) will never automatically add host keys to the
             ~/.ssh/known_hosts file, and refuses to connect to hosts whose host key has changed. [..]

ЗЫ: читаю маны, громо, с выражением, вслух. дорого

beastie ★★★★★
(11.04.18 10:32:10 MSK)
Последнее исправление: beastie 11.04.18 10:33:43 MSK (всего исправлений: 2)

Ответ на: комментарий от beastie 11.04.18 10:32:10 MSK

ЗЫ: читаю маны, громо, с выражением, вслух. дорого

С ирландским акцентом?

UVV ★★★★★
(11.04.18 10:41:04 MSK)

Ссылка

Ответ на: комментарий от beastie 11.04.18 10:32:10 MSK

И я читаю тоже.. К сожалению это можно следующим образом легко обойти:

user1@hl02:~$ ssh -o «StrictHostKeyChecking=ask» user1@serverB

по этому этот вариант к сожалению не подходит

Igorek ★
(11.04.18 10:54:01 MSK) автор топика
Последнее исправление: Igorek 11.04.18 10:55:15 MSK (всего исправлений: 1)

Ссылка

А что мешает в iptables сделать режим по-умолчанию «запрещено» и разрешить соединения только с теми серверами, с которыми явно указано?

anonymous
(11.04.18 12:06:51 MSK)

Ответ на: комментарий от anonymous 11.04.18 12:06:51 MSK

Iptables не совсем хорошее решении, так как Ip адрес можно легко поменять и вместо настоящего serverB окажется левый какой-либо. Ответа «yes» пользователя на сообщение о изменившемся hostkey будет достаточно.

Эту проблему можно было бы с hostkeys легко решить, если бы была нормальная возможность контроля известных/неизвестных ключей. О чем собственно и вопрос

Igorek ★
(11.04.18 13:59:30 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Как подменять/редактировать видео в камере в реальн. времени?

General

имитировать физический обрыв связи

→

Похожие темы