Điểm:0

Tôi đã sử dụng ssh-keyscan để tự động cho phép lấy dấu vân tay trong môi trường sản xuất. liệu nó có tốt không

lá cờ ro

Có bất kỳ tùy chọn nào để hoàn nguyên hành động được đề cập không. cho dù nó sẽ gây ra bất kỳ vi phạm an ninh?

Điểm:0
lá cờ cn
Bob

Khái niệm bảo mật là bạn thực hiện xác minh thủ công/ngoài băng tần của dấu vân tay khóa máy chủ một lần cho mọi máy chủ mới mà bạn kết nối, để đảm bảo rằng bạn kết nối với máy chủ thực mà bạn muốn truy cập và bạn không phải là kết nối với máy chủ sai hoặc kẻ trung gian hoặc kẻ tấn công khác.

Khi dấu vân tay khớp với nhau, bạn thêm khóa máy chủ vào known_hosts của mình và bạn sẽ chỉ được nhắc lại khi đột nhiên khóa đáng tin cậy đó không còn được máy chủ cung cấp nữa. Trong trường hợp đó, khóa máy chủ đã thay đổi hoặc có hành vi chơi xấu nào đó nhưng bạn cần điều tra bằng cả hai cách.


Trong thực tế và đặc biệt là trong một môi trường rộng lớn, việc xác thực dấu vân tay thủ công thường không thực tế. Chạy ssh-keyscan có thể thích hợp để điền vào known_hosts (một lần) nhưng giả sử rằng hiện tại không có MITM hoặc trò chơi xấu nào khác. Trạng thái hiện tại sẽ là đường cơ sở được chấp nhận và bạn sẽ chỉ có thể phát hiện các thay đổi chính của máy chủ trong tương lai.

Điều đó loại bỏ một số bảo mật nhưng có thể là một rủi ro chấp nhận được.


Để hoàn nguyên từ bất kỳ khóa máy chủ nào đã vô tình được chấp nhận đáng tin cậy, cần phải xóa khóa đó khỏi tệp known_hosts.

Lựa chọn của bạn là:

  • xóa tất cả các khóa máy chủ đáng tin cậy bằng cách xóa hoàn toàn Ë/.ssh/known_hosts
  • chỉnh sửa thủ công Ë/.ssh/known_hosts và xóa các dòng có mục nhập cụ thể cho (các) máy chủ.
    Nếu bạn đã truy cập máy chủ từ xa bằng các phương tiện khác nhau, ví dụ: với cả tên máy chủ và địa chỉ IP, có thể có các khóa máy chủ cho từng loại trong known_hosts
  • đôi khi tên máy chủ trong Ë/.ssh/known_hosts được băm (khi HashKnownHosts lệnh cho ssh được bật), bạn không thể chỉnh sửa thủ công Ë/.ssh/known_hosts và bạn nên sử dụng ssh-keygen -R TÊN MÁY CHỦ để xóa khóa đã lưu cho HOSTNAME đó. Một lần nữa, có thể có các mục nhập khác nhau cho tên máy chủ, tên máy chủ.example.com và địa chỉ IP của máy chủ lưu trữ đó.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.