Qual è la logica delle autorizzazioni predefinite di / etc / ssh / ssh_known_hosts?

Per impostazione predefinita, Debian e Ubuntu (alless) impostano /etc/ssh/ssh_known_hosts senza permesso di lettura per altri. Qual è la logica dietro questo? Non riesco a pensare a nessun rischio di sicurezza con o+r e, d'altra parte, averlo pubblicamente leggibile è utile per i file distribuiti da admin.

  • Autorizzazioni di Active Directory: Elimina o sposta
  • Che cosa dovrebbero essere le autorizzazioni di Apache SSL directory, certificato e chiave?
  • Sicurezza del server fisico
  • sito compromesso
  • Il sito è in linea con i bots di posta
  • Posso distriggersre l'accesso di shell interattivo mentre tunneling il traffico web tramite SSH?
  • 2 Solutions collect form web for “Qual è la logica delle autorizzazioni predefinite di / etc / ssh / ssh_known_hosts?”

    Vorrei sostenere che il punto di block dell'accesso a quel file è quello di impedire a un intruso che ha compromesso il sistema di get un elenco di host che il mio sistema ha accesso. La logica simile si applica all'opzione HashKnownHosts abilitata per impostazione predefinita ultimamente. In genere non desideri che il tuo sistema fornisca tutto ciò che un intruso ha bisogno per get il controllo di tutto sulla tua networking.

    Se hai aggiunto solo voci /etc/ssh/ssh_known_hosts nei tuoi /etc/ssh/ssh_known_hosts , non credo che sia veramente un grande affare poiché invertendo l'hash non è ansible.

    Le chiavi ssh non devono essere condivise senza una buona ragione. / etc / ssh / * sono opzioni di configuration applicabili a tutti gli utenti. Il file ssh_known_hosts è un modo per specificare un elenco di host noti per tutti gli utenti che accedono a tale casella. Credo che puoi anche aggiungere voci a /home/*/.ssh/known_hosts per applicare un host "conosciuto" a un utente specifico. Non dovrebbe esserci alcun problema con il proprietario che ha le autorizzazioni di lettura …. anzi … tutti gli utenti dovrebbero avere le autorizzazioni di lettura su quel file. La preoccupazione è quando si applicano le autorizzazioni di scrittura.

    Quel file viene utilizzato per identificare l'impronta digitale del server remoto … quindi quando si ssh nel tuo server uber-secure … sei in realtà ssh'ing nel tuo server … e non un altro server di properties; di un hacker che è giocando in mezzo al mezzo.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.