我下周将在一次会议上介绍我创建的一些软件工具。在演讲期间,我的笔记本电脑将显示在投影仪屏幕上。演讲将被录像并发布在 YouTube 上。如果出于某种原因,我~/.ssh/known_hosts在演讲期间需要打开和编辑我的文件,我是否应该在执行此操作时断开投影仪的连接?泄露我的 known_hosts 文件是否存在安全风险?
答案1
known_hosts 文件包含您过去连接过的主机的可信公钥。只需尝试连接这些主机即可获得这些公钥。因此,它本身不存在安全风险。
但:它包含您连接过的主机的历史记录。例如,潜在攻击者可能会利用这些信息来追踪组织基础设施。它还会告知潜在攻击者,您可能有权访问某些主机,而窃取您的笔记本电脑也会让他们获得访问权限。
编辑:为了避免显示您的known_hosts文件,我建议您使用该ssh-keygen实用程序。ssh-keygen -R ssh1.example.org例如从ssh1.example.org您的known_hosts中删除受信任的密钥。
答案2
这没有什么特别危险的。但是,您可能不希望泄露此识别信息。有时主机的存在会为那些有此倾向的人揭示出良好的攻击路线。您可以使用HashKnownHosts,也可以在不查看文件的情况下对其进行编辑。
盲编辑:
sed -i 25d .ssh/known_hosts将删除第 25 行而不在屏幕上显示任何内容。
哈希已知主机
表示 ssh(1) 在将主机名和地址添加到 ~/.ssh/known_hosts 时应对其进行哈希处理。这些经过哈希处理的名称可由 ssh(1) 和 sshd(8) 正常使用,但如果文件内容被泄露,则不会泄露身份信息。默认值为“否”。请注意,已知主机文件中的现有名称和地址不会自动转换,但可以使用 ssh-keygen(1) 手动对其进行哈希处理。