泄露您的SSH known_hosts文件是否存在安全风险？

Question

我在下周的一个会议上谈到了我开发的一些软件工具。我的笔记本电脑将显示在投影机屏幕在这个演示。介绍将被录像，并张贴在youtube上。如果由于某种原因，我有机会在本演示文稿期间打开和编辑我的~/.ssh/known_hosts文件，那么在这样做时是否应该断开投影仪的连接？泄露我的known_hosts文件有任何安全风险吗？

Answer 1

known_hosts文件包含过去连接到的主机的受信任公钥。只要尝试连接到这些主机，就可以获得这些公钥。因此，这本身并不是安全风险。

但是:它包含了您连接到的主机的历史。例如，该信息可能被潜在攻击者用于占用组织基础结构。此外，它还通知潜在的攻击者，您可能可以访问某些主机，并且窃取您的笔记本电脑也会让他们访问。

编辑:为了避免显示known_hosts文件，我建议您使用ssh-keygen实用程序。例如，ssh-keygen -R ssh1.example.org从您的known_hosts中删除ssh1.example.org的受信任密钥。

Answer 2

这没什么特别危险的。但是，您可能不希望披露此标识信息。有时，主机的存在会为那些倾向的人显示出良好的攻击路线。您可以使用HashKnownHosts，也可以在不查看文件的情况下编辑它。

盲目编辑：

sed -i 25d .ssh/known_hosts将删除第25行，而不将任何内容放在屏幕上。

HashKnownHosts 表示当主机名和地址添加到~/.ssh/知名主机时，ssh(1)应该散列主机名和地址。ssh(1)和sshd(8)可以正常使用这些散列名称，但如果文件的内容被披露，它们不会显示标识信息。默认为“否”。请注意，已知主机文件中的现有名称和地址不会自动转换，但可以使用ssh-keygen(1)手动散列。