Ssh
-H 在 ssh-keyscan 命令中如何工作?
關於選項的
ssh-keyscan命令-H根據:它表明
-H Hash all hostnames and addresses in the output. Hashed names may be used normally by ssh and sshd, but they do not reveal identifying information should the file's contents be disclosed.我不明白這個想法和它的目的。這就是這個文章的原因。請你能澄清它的用途嗎?
我確實意識到對於兩個不同的主機,如果執行
# Pair I ssh-keyscan 192.168.1.x ssh-keyscan 192.168.1.y # Pair II ssh-keyscan -H 192.168.1.x ssh-keyscan -H 192.168.1.y第一對:對於每個 IP,顯示每個公鑰的輸出,並將密鑰類型指示為
dsa, ecdsa, ed25519和rsa。第二對:對於每個 IP,顯示每個公鑰的輸出,並將密鑰類型指示為和
dsa, ecdsa, ed25519-rsa但是在每個密鑰類型的開頭出現|1|帶有一些隨機文本的文本問題:
-H在命令中如何工作ssh-keyscan?額外問題
- 什麼時候強制使用
-H?|1|with some random text是什麼意思?請記住,對於兩個不同的主機,輸出中會出現
|1|一些隨機文本,它針對每種密鑰類型。所以我假設這不是巧合筆記
出於安全原因,我不會共享輸出
單向散列被宣傳為一種使攻擊者更難知道您通過 SSH 連接到哪些主機的方法,如果說攻擊者掌握了您的
known_hosts文件。這裡是ssh_config(5)說:HashKnownHosts Indicates that ssh(1) should hash host names and addresses when they are added to ~/.ssh/known_hosts. These hashed names may be used normally by ssh(1) and sshd(8), but they do not visually re- veal identifying information if the file's contents are dis- closed. The default is no.這是通過默默無聞的安全,儘管傾向於“良好的默默無聞”,因為它可能使攻擊者更難找到其他目標主機,或者讓某人知道你一直在連接到一個政治上不恰當的系統。還有其他方法可以找到此資訊(防火牆日誌、網路流記錄、DNS 等),但易於閱讀的未散列文本文件對攻擊者來說非常有用,而其他方法可能不可用或可能需要很長時間。
(您可能還應該加密磁碟以獲得更好的“深度防禦”,儘管如果應用程序漏洞允許直接訪問已安裝的文件系統,或者如果他們發現您的螢幕未鎖定等,這將無濟於事。)