Qual è la logica delle autorizzazioni predefinite di / etc / ssh / ssh_known_hosts?

Per impostazione predefinita, Debian e Ubuntu (alless) impostano /etc/ssh/ssh_known_hosts senza permesso di lettura per altri. Qual è la logica dietro questo? Non riesco a pensare a nessun rischio di sicurezza con o+r e, d'altra parte, averlo pubblicamente leggibile è utile per i file distribuiti da admin.

  • SSH: Come avviare un process che non finirà dopo il riavvio del sistema?
  • Perché SSH si lamenta improvvisamente delle autorizzazioni sulla directory .ssh?
  • backup rsync / ssh / rsnapshot - esecuzione di script remoto
  • Puppet Master in Macchina VIrtual con inoltro della port (errore di certificazione SSL?)
  • copiare un file 2 connessioni lontano?
  • Perché l'authentication della password SSH è un rischio per la sicurezza?
  • Qual è il vantaggio di utilizzare chiavi asimmetriche rispetto alle password?
  • È normale per get centinaia di tentativi di break-in al giorno?
  • 2 Solutions collect form web for “Qual è la logica delle autorizzazioni predefinite di / etc / ssh / ssh_known_hosts?”

    Vorrei sostenere che il punto di block dell'accesso a quel file è quello di impedire a un intruso che ha compromesso il sistema di get un elenco di host che il mio sistema ha accesso. La logica simile si applica all'opzione HashKnownHosts abilitata per impostazione predefinita ultimamente. In genere non desideri che il tuo sistema fornisca tutto ciò che un intruso ha bisogno per get il controllo di tutto sulla tua networking.

    Se hai aggiunto solo voci /etc/ssh/ssh_known_hosts nei tuoi /etc/ssh/ssh_known_hosts , non credo che sia veramente un grande affare poiché invertendo l'hash non è ansible.

    Le chiavi ssh non devono essere condivise senza una buona ragione. / etc / ssh / * sono opzioni di configuration applicabili a tutti gli utenti. Il file ssh_known_hosts è un modo per specificare un elenco di host noti per tutti gli utenti che accedono a tale casella. Credo che puoi anche aggiungere voci a /home/*/.ssh/known_hosts per applicare un host "conosciuto" a un utente specifico. Non dovrebbe esserci alcun problema con il proprietario che ha le autorizzazioni di lettura …. anzi … tutti gli utenti dovrebbero avere le autorizzazioni di lettura su quel file. La preoccupazione è quando si applicano le autorizzazioni di scrittura.

    Quel file viene utilizzato per identificare l'impronta digitale del server remoto … quindi quando si ssh nel tuo server uber-secure … sei in realtà ssh'ing nel tuo server … e non un altro server di properties; di un hacker che è giocando in mezzo al mezzo.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.