Format der .ssh/known_hosts unter Ubuntu

[Ulf Rompe]

Am Mittwoch, den 13.06.2007, 15:27 +0200 schrieb Thomas Schewe:
> > Deine privaten Schlüssel hat er ja dann auch gleich passend dazu.
> 
> Sollten die nicht eigentlich mit einer guten Passphrase gesichert
> sein?

Selbstverständlich sollten sie das. In einer idealen Welt wären sie das
auch. Viele Menschen brauchen aber auch zusätzlich ungeschützte Keys, um
damit beispielsweise Cronjobs zu ermöglichen, mit anderen Rechnern zu
interagieren.

Weiterhin ist die Sicherheit einer Passphrase auch nicht unendlich. Wenn
es ein Angreifer geschafft hat, Dein Homeverzeichnis zu lesen, dann
könnte es ihm auch gelingen, Dir Deine Passphrase abspenstig zu machen,
entweder mit einem Trojaner oder durch Auslesen des Speichers, in dem
der ssh-agent residiert.

Natürlich ist da auch das Verschleiern der known_hosts nur ein weiterer,
kleiner Stock, den man dem Angreifer zwischen die Beine wirft, und nicht
die ultimative Sicherheit; so viel muss einem dabei klar sein. Aber es
schadet ja nicht, es ungebetenen Gästen so ungemütlich wie möglich zu
machen, und der Vorteil, den man durch eine unverschleierte known_hosts
erzielt, ist denkbar gering. Wie oft muss man das Ding denn wirklich
lesen? Die ssh sagt bei jeder Unstimmigkeit dazu (üblicherweise, wenn
sich durch Neuaufsetzen einer Maschine deren Host-Key geändert hat), in
welcher Zeile der Konflikt auftritt.

Der einzige Nachteil der Verschleierung ist meines Erachtens, dass die
Bash-Completion auf diese Einträge nicht mehr funktioniert. Dass es so
etwas gab, wussten aber vermutlich sowieso nicht viele Anwender.

[x] ulf 

-- 
Der Computer ist die logische Weiterentwicklung des Menschen:
Intelligenz ohne Moral. (John Osborne)