【发布时间】:2011-05-30 14:16:51
【问题描述】:
我不是网络安全方面的专家,所以如果这个问题不是很聪明,请原谅:)。
我正在使用 ssh 自动登录某些机器。我目前正在使用 StrictHostKeyChecking no 避免主机键警告。
我天真地理解有人可以冒充服务器,如果是这种情况,我冒着丢失密码的风险。但是,如果我只使用基于公钥/私钥的身份验证(使用 PasswordAuthentication no ),入侵者还会造成伤害吗?
所以基本上,ssh -o "StrictHostKeyChecking no" -o "PasswordAuthentication no":
1) 入侵者能否破译我的私钥?
2) 是否存在其他安全威胁?
问候,
日本
【问题讨论】:
-
只是想知道为什么要避免主机键警告?通常,它只会提示一次,如果您不更改主机密钥,则只会在您第一次登录该服务器时提示。真的有那么烦人吗?为了避免将主机密钥分发给许多不同的客户端机器的麻烦,您可以在 SSH 中使用 Kerberos 身份验证。然后,可以将 SSH 配置为使用 NULL 主机密钥算法。这是可能的,因为Kerberos认证会做相互认证,可以保证服务器的身份。
-
其实是的,你是对的。理想情况下,我不应该避免警告。我猜 NULL 主机密钥也是一个漏洞问题。
标签: security ssh ssh-keys openssh man-in-the-middle