আপনার এসএসএইচ পরিচিত_হোস্ট ফাইলটি প্রকাশ করার জন্য কি কোনও সুরক্ষা ঝুঁকি রয়েছে?


32

আমি পরের সপ্তাহে একটি সম্মেলনে বলছিলাম যে আমি তৈরি করেছি কয়েকটি সফ্টওয়্যার সরঞ্জাম সম্পর্কে। এই উপস্থাপনা চলাকালীন আমার ল্যাপটপ একটি প্রজেক্টরের পর্দায় প্রদর্শিত হবে। উপস্থাপনাটি ভিডিওটিপেড এবং ইউটিউবে পোস্ট করা হবে। যদি, কোনও কারণে, ~/.ssh/known_hostsএই উপস্থাপনা চলাকালীন আমার ফাইলটি খোলার ও সম্পাদনা করার উপলক্ষ থাকে, আমি কি প্রজেক্টরটি এমনটি করার সময় সংযোগ বিচ্ছিন্ন করব? আমার পরিচিত_হোস্ট ফাইলটি প্রকাশ করার কোনও সুরক্ষা ঝুঁকি আছে কি?


7
known_hostsউপস্থাপনা চলাকালীন কেন কেবল আপনার আসলটি একটি নকল দিয়ে প্রতিস্থাপন করবেন না ?
সোভেন

1
... বা যদি আপনি প্রথমে হোস্ট ফিঙ্গারপ্রিন্টটি চেক না করেন ssh -oUserKnownHostsFile=/dev/null -oStrictHostKeyChecking=no user@hostতবে ফিঙ্গারপ্রিন্ট প্রশ্নটি বাইপাস করার মতো কিছু ব্যবহার করুন এবং বিদ্যমান জ্ঞাত_হোস্টগুলির বিরুদ্ধে চেক এড়াতে পারেন।
লেকেনস্টেইন

@ ততক্ষণে ज्ञিত_হোস্ট ফাইলটি উপস্থাপনাটির অংশ নয়, কেবল যে সফ্টওয়্যারটি আমি মাঝে মাঝে প্রদর্শন করি তা আমার পরিচিত_হোস্টগুলি সম্পাদনা করার প্রয়োজন। শ্রোতাদের এটি দেখার দরকার নেই (তাই আমি এখানে বেশ কয়েক জন মন্তব্যকারী পরামর্শ হিসাবে অন্ধ সম্পাদনা ব্যবহার করব) তবে একটি জাল ज्ञात_হোস্ট ফাইল সম্পাদনা করা আমার লক্ষ্য অর্জন করতে পারে না।
ম্যাট করস্টোফ

উত্তর:


43

পরিচিত_হোস্টস ফাইলটিতে অতীতে সংযুক্ত হোস্টগুলির জন্য বিশ্বস্ত পাবলিক কী রয়েছে contains এই সর্বজনীন কীগুলি কেবল এই হোস্টগুলির সাথে সংযোগের চেষ্টা করে প্রাপ্ত করা যেতে পারে। অতএব এটি কোনও প্রতি নিরাপত্তার ঝুঁকি নেই।

তবে: এতে আপনার সংযুক্ত হোস্টের ইতিহাস রয়েছে। তথ্যটি কোনও সম্ভাব্য আক্রমণকারী দ্বারা উদাহরণস্বরূপ পদাঙ্ক সংস্থার অবকাঠামোতে ব্যবহার করা যেতে পারে। এছাড়াও এটি সম্ভাব্য আক্রমণকারীদের অবহিত করে যে আপনার সম্ভবত কিছু নির্দিষ্ট হোস্টের অ্যাক্সেস থাকতে পারে এবং আপনার ল্যাপটপটি চুরি করলে তা তাদের অ্যাক্সেসও দিতে পারে।

সম্পাদনা করুন: আপনার পরিচিত_হোস্ট ফাইলটি এড়াতে আমি আপনাকে ssh-keygenইউটিলিটিটি ব্যবহার করার পরামর্শ দিচ্ছি । ssh-keygen -R ssh1.example.orgউদাহরণস্বরূপ ssh1.example.orgআপনার পরিচিত_হোস্টগুলি থেকে বিশ্বাসযোগ্য কীগুলি সরিয়ে দেয় ।


15

এটি সম্পর্কে বিশেষত বিপজ্জনক কিছুই নেই। তবে আপনি এই সনাক্তকারী তথ্য প্রকাশ করতে ইচ্ছুক নাও হতে পারেন। কখনও কখনও হোস্টগুলির অস্তিত্ব তাদের মধ্যে ঝুঁকির জন্য আক্রমণের ভাল রেখা প্রকাশ করে। আপনি হয় ব্যবহার করতে পারেন HashKnownHosts, বা আপনি ফাইলটি না দেখে সম্পাদনা করতে পারেন।


অন্ধ সম্পাদনা:
sed -i 25d .ssh/known_hostsস্ক্রিনে কোনও সামগ্রী না রেখে 25 লাইন মুছে ফেলবে।

হ্যাশকানাডহাস্টস
সূচিত করে যে sh / .ssh / জ্ঞাত_হোস্টগুলিতে যুক্ত হওয়ার পরে ssh (1) এর নাম ও ঠিকানা থাকা উচিত। এই হ্যাশগুলির নামগুলি সাধারণত ssh (1) এবং sshd (8) দ্বারা ব্যবহার করা যেতে পারে তবে ফাইলের বিষয়বস্তু প্রকাশ করা উচিত তবে তারা সনাক্তকারী তথ্য প্রকাশ করে না। ডিফল্ট হ'ল "না"। নোট করুন যে পরিচিত হোস্ট ফাইলগুলিতে বিদ্যমান নাম এবং ঠিকানাগুলি স্বয়ংক্রিয়ভাবে রূপান্তরিত হবে না তবে ssh-keygen (1) ব্যবহার করে ম্যানুয়ালি হ্যাশ করা যেতে পারে।


4
ম্যানুয়ালি লাইন নম্বর গণনা করা এবং সেড দিয়ে মুছে ফেলার পরিবর্তে আপনিও ব্যবহার করতে পারেন ssh-keygen -R example.com
লেকেনস্টেইন

4
আপনি ssh-keygen -H -f ~/.ssh/known_hostsফাইলের সমস্ত নাম / ঠিকানা হ্যাশ করতেও ব্যবহার করতে পারেন ।
বারমার
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.