
Самый недооцененный механизм безопасности SSH или почему known_hosts — это не кэш
casablanque 12 минут назад Самый недооцененный механизм безопасности SSH или почему known_hosts — это не кэш Простой 4 мин 411 Системное администрирование * Информационная безопасность * C * Linux * Каждый, кто хоть раз...
<5 — 2026'da uzaya kaç SpaceX Starship fırlatması ulaşacak?
Вот важная новость с фронта ИИ: casablanque 12 минут назад Самый недооцененный механизм безопасности SSH или почему known_hosts — это не кэш Простой 4 мин 411 Системное администрирование * Информационная безопасность * C * Linux * Каждый, кто хоть раз подключался к новому серверу по SSH, знаком с этим интерактивным ритуалом:The authenticity of host 'example. com' can't be established. ED25519 key fingerprint is SHA256:...
Are you sure you want to continue connecting (yes/no)? И почти все бездумно вводят одинаковый ответyes Эта модель называется TOFU или Trust On First Use — доверие при первом использовании. Через несколько месяцев или даже лет по тому же адресу может прилететь уже совсем другое сообщение.
Технические детали
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ И тут сценарий в большинстве случаев тоже простой и бестолковый. ssh-keygen -R example.
com # yes Вот и все, можно снова не беспокоиться, проблема решена. До недавнего времени я относился к файлу known_hosts примерно так же. Ну какой-то там служебный кэш SSH.
Если что-то пошло не так — удалил запись, подключился заново, живем дальше. Но однажды я поймал себя на простой как два рубля мысли. known_hosts — это вообще не кэш.
Отраслевые последствия
Это база доверенных идентичностей серверов. Когда SSH спрашивает:Вы уверены, что хотите доверять этому серверу? он сохраняет ваш ответ именно в known_hosts.
И потом годами использует этот файл как единственный источник истины, чтобы понимать, разговариваете вы с тем же сервером или с кем-то совершенно другим. Получается интересная ситуация. Один из важнейших механизмов безопасности SSH хранится в обычном текстовом файле.
При этом вокруг него почти нет инструментов. Где заканчивается OpenSSHДавайте посмотрим, что OpenSSH умеет делать со своей собственной базой доверия. автоматически добавить новую запись при первом подключенииудалить запись (ssh-keygen -R)найти запись (ssh-keygen -F)захэшировать файл (ssh-keygen -H)И, по большому счёту, на этом его полномочия всё.
Событие, по словам экспертов, усилит конкуренцию в сфере ИИ.





