Hány soros a ~/.ssh/known_hosts file-od?

Internet, Közösségi média

nincs ilyen file-om vagy üres
8% (31 szavazat)
1
3% (11 szavazat)
2-5
12% (47 szavazat)
6-10
8% (33 szavazat)
11-20
11% (43 szavazat)
21-50
10% (38 szavazat)
51-100
9% (37 szavazat)
101-500
19% (75 szavazat)
>500
7% (29 szavazat)
csak az eredmény érdekel / nem értem a kérdést / nem tudom megnézni (most)
14% (55 szavazat)
Összes szavazat: 399

( traktor | 2012. 07. 16., h – 10:49 )

Igy tudod megnezni: 


wc -l ~/.ssh/known_hosts

Es persze a legtobbet hasznalt desktop gepedrol van szo.
A szavazatod vissza tudod vonni es ujra leadni.

Nem trollkodtam. Viccnek szántam, de egyébként komolyan, aki használ ilyeneket az úgyis tudja, ráadásul itt mindenki úgy "winfosozik", meg "microfosozik", és "kíndózozik" agyba főbe hogy eléggé úgy tűnik, hogy itt mindenki linux expert, így nem is értem miért kell ilyen segédleteket leírni. :)

Leviszem a bal alsó sarokba a kurzort, kattintok, és előjön "a start lap". A legtöbb embernek azzal van a problémája, hogy nincsen ott a bal alsó sarokban a Windows logós Start gomb, ezért "nem találják". Erre írtam, hogy pedig ugyanott van ahol eddig, csak oda kell húzni a kurzort. Én továbbra is Start menünek hívom.

itt van, csak oda kell vinni a kurzort és megjelenik ez. nem túl bonyolult

Akkor röviden: Mikor telepítesz egy ssh szervert, akkor létrehoz(ol) egy (pontosabban több, de ez most mindegy) egyedi szerver host kulcsot (valójában párt). Ehhez "nyom" egy ujjnyomot (fingerprint) is akkor (habár ez bármikor lekérdezhető: ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key).
Amikor erre a szerverre először ssh-zol, akkor a kliensed "szól", hogy nem ismeri még ezt a szervert és kiírja az ujjnyomot is, hogy elfogadod-e a kapcsolatot. Az ujjnyom alapján tudod ellenőrizni, hogy valóban ahhoz a szerverhez kapcsolódsz, amelyikhez akartál (hogy ezt megteszed-e, és ha igen akkor hogyan az más kérdés).
Ha elfogadod, akkor az ssh szerver publikus kulcsát, illetve a szerver nevét vagy ip címét (attól függően, hogy hogy kapcsolódtál), vagy ez utóbbinak a hash-ét letárolja a kliens felhasználójának a .ssh/known_hosts fájljában.
Ha más szerver hostnévvel vagy ip címmel jelenkezel be, akkor ahhoz újra letárolja a kulcsot, azaz ha a szervernek van több neve, vagy ha egyszer ip címet, máskor meg hostnevet használsz a kapcsolódáskor, akkor is új sort hoz létre.
Amennyiben megváltozna a szerver kulcsa (pl. újratelepítés miatt), akkor a kliens nem enged kapcsolódni az adott szerverhez. Ekkor ha biztos vagy, hogy jó szerverhez akarsz csatlakozni, ki kell törölni az adott sort a known_hosts fájlból.
Az, hogy maga a felvetett szavazás mit jelent, az igazából nem világos, mivel a known_hosts fájlban (a fenti okok miatt) egy szerver szerepelhet többször is, illetve amíg nincs kitörölve, addig ott marad minden olyan kulcs is, amelyet esetleg már évek ótan nem használtunk, sőt lehet, hogy már nincs is olyan szerver.

A szavazás arról szól, hogy hány soros az ~/.ssh/known_hosts file. Az, hogy az eredményt a szavazás kiírója vagy mások hogy értelmezik, már más kérdés :) Nekem 300 felett volt, ami egy otthoni desktopnál nagyon szép eredmény, persze egyszerűen takarítani kéne, és akkor jelenleg 10 sornál kevesebb lenne, na meg sokáig lépegettem be dyndns-es hostokra, az se volt több húsznál, csak hát sűrűn változott az IP. De olyan szépen néz ki a hosszú known_hosts file... :D

( bazso | 2012. 07. 17., k – 09:21 )

Amióta az ubi-ban (gondolom ssh verzió függő, tehát máshol is igaz lehet) sem IP, sem hosztnév nem jelöli a sorokat, egy újratelepített elérendő gép miatt kénytelen vagyok az egészet takarítani (lusta vagyok kulcs alapján keresni, és nem üzemeltetek, azaz alacsony a kockázat)

Nem kell torolnod az egeszet. Ha az ssh valamigep parancs panaszkodik, akkor tudod az arra vonatkozo sort torolni ssh-keygen -R valamigep paranccsal
Szerk: latom lassu voltam, torolni meg nem lehet.
Szerk2: Akkor hogy legyen valami ertelmes is a hozzaszolasomban. Ha valamiert elveszik a known_hosts fileod, es van egy listad a gepekrol, akkor ssh-keyscan parancssal ujra letre tudod hozni

( apostroph3 | 2012. 07. 17., k – 09:51 )

melyik gépen, milyen felhasználónév alatt?
:)

az otthoni gépen 98. a többi ipari titok:)

( locsemege v | 2012. 07. 17., k – 09:54 )

Nekem most éppen 125. Na nem azért, mert ilyen sok gépet tartok karban, hanem azért, mert a karbantartott 7 gépből 5-nek dinamikus IP-címe van. Aztán, ha kiosztásra kerül másik géphez egy már felvett cím, akkor a két statikus cím kivételével a többi bejegyzést mcedit-tel szoktam törölni. A statikus címek is csak azért statikusak, mert lokákis hálózaton vannak.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

( _ventura_ v | 2012. 07. 17., k – 11:01 )

cat .ssh/known_hosts |wc -l
666

elég ördögi :D

Fedora 16, Thinkpad x61s

( csabka v | 2012. 07. 17., k – 12:28 )

hogyan lehet automatizáltan ellenőrizni a bejelentkezett szerveren, hogy a publikus kulcs valóban az övé-e, mint ami nálam van a known_host-ban?

valahogy így gondoltam:
1. adott egy szeróra amin új kulcs van (pl egy ssh upgrade után generált)
2. letörlöm a régi pubkulcsot, különben nem nagyon hagy kapcsolódni
3. megkérdezi kapcsolódáskor, hogy mit szólok az új publik kulcshoz... "bátran" kissé izgulva azt mondom hogy yes

na innentől szeretném azt, hogy amikor ellopták pl MITM támadással épp a jelszóm (tegyük fel blokkolták a kulcs autentikációt és jelszót kér amit pl: készségesen beírtam majd be is lépett a szerverre), akkor tudjak is róla...
Azaz miután beléptem a szerverre akkor kiírja a szerver publikus kulcsához tartozó tényleges finger print-et, amit pár sorral fentebbi fingerprint-el egyből össze tudok hasonlítani.
Ez sokat segítene és viszonylag kevés munkával járna (persze egy feltört szerveren nem segít.. főleg, ha jelszó után egyből törik, de az már egy másik kérdés)

Két ötletem van, az egyik, hogy localhost-ra ssh-zni és mindig törölni a known_hosts-ot és akkor feldobja (gondolom van egyszerűbb is, bár amíg ezt írom meg is nézhetném :-) )

a másik ötletem, hogy a /etc/ssh/ssh_host_rsa_key.pub vagy a /etc/ssh/ssh_host_dsa_key.pub kulcsból valahogyan fingerprint-et kicsikarni (ezt keresgéltem de nem találtam még).

kifejted? pl: rossz ötlet/felesleges (pl úgyis sed -el arra cseréli a köztes gép amire akarja stb?).

szerintem még mindig értelmesebb mint a "kulcsrajz" vagy hogy is hívják, amikor ascii art-al próbálják emlékezetessé tenni .

( XMI | 2012. 07. 21., szo – 17:37 )

Kivancsi lennek, hogy a >500-as emberek mit csinalnak. Egyebkent nekem is >500 :) de en Amazon EC2-n futo cuccot fejlesztek, ott meg minden VM-hez uj IP-t kap az ember. Mas jellegu munkat viszont kevesse tudok elkepzelni, ami ennyi kulonbozo hostra belepest eredmenyezne,
---
Internet Memetikai Tanszék