Khái niệm bảo mật là bạn thực hiện xác minh thủ công/ngoài băng tần của dấu vân tay khóa máy chủ một lần cho mọi máy chủ mới mà bạn kết nối, để đảm bảo rằng bạn kết nối với máy chủ thực mà bạn muốn truy cập và bạn không phải là kết nối với máy chủ sai hoặc kẻ trung gian hoặc kẻ tấn công khác.
Khi dấu vân tay khớp với nhau, bạn thêm khóa máy chủ vào known_hosts của mình và bạn sẽ chỉ được nhắc lại khi đột nhiên khóa đáng tin cậy đó không còn được máy chủ cung cấp nữa. Trong trường hợp đó, khóa máy chủ đã thay đổi hoặc có hành vi chơi xấu nào đó nhưng bạn cần điều tra bằng cả hai cách.
Trong thực tế và đặc biệt là trong một môi trường rộng lớn, việc xác thực dấu vân tay thủ công thường không thực tế. Chạy ssh-keyscan có thể thích hợp để điền vào known_hosts (một lần) nhưng giả sử rằng hiện tại không có MITM hoặc trò chơi xấu nào khác. Trạng thái hiện tại sẽ là đường cơ sở được chấp nhận và bạn sẽ chỉ có thể phát hiện các thay đổi chính của máy chủ trong tương lai.
Điều đó loại bỏ một số bảo mật nhưng có thể là một rủi ro chấp nhận được.
Để hoàn nguyên từ bất kỳ khóa máy chủ nào đã vô tình được chấp nhận đáng tin cậy, cần phải xóa khóa đó khỏi tệp known_hosts.
Lựa chọn của bạn là:
- xóa tất cả các khóa máy chủ đáng tin cậy bằng cách xóa hoàn toàn
Ë/.ssh/known_hosts
- chỉnh sửa thủ công
Ë/.ssh/known_hosts và xóa các dòng có mục nhập cụ thể cho (các) máy chủ.
Nếu bạn đã truy cập máy chủ từ xa bằng các phương tiện khác nhau, ví dụ: với cả tên máy chủ và địa chỉ IP, có thể có các khóa máy chủ cho từng loại trong known_hosts
- đôi khi tên máy chủ trong
Ë/.ssh/known_hosts được băm (khi HashKnownHosts lệnh cho ssh được bật), bạn không thể chỉnh sửa thủ công Ë/.ssh/known_hosts và bạn nên sử dụng ssh-keygen -R TÊN MÁY CHỦ để xóa khóa đã lưu cho HOSTNAME đó. Một lần nữa, có thể có các mục nhập khác nhau cho tên máy chủ, tên máy chủ.example.com và địa chỉ IP của máy chủ lưu trữ đó.
