Re: ~/.ssh/known_hosts
On Sat, 18 Apr 2015, Pavel Volkov wrote: On Tuesday, March 17, 2015 3:11:57 PM MSK, yuri.nefe...@gmail.com wrote: Хотя есть ситуации, когда включить хэширование стоит. И понятно, почему по умолчанию оно включено. Да и на персональном ноутбуке стоит включать. Хотя, возможно, это и паранойя. У меня практически все ходимые-на хосты и так перечислены в .ssh/config, так что эта опция, врубленная дебианом по умолчанию, бесполезна :) Точно, есть такая проблема. Особенно если username отличается. Да еще до некоторых хостов прокси прописано... Ю. p.s. Здесь ясно просматривается чей-то след! ©
Re: ~/.ssh/known_hosts
On Tuesday, March 17, 2015 3:11:57 PM MSK, yuri.nefe...@gmail.com wrote: Хотя есть ситуации, когда включить хэширование стоит. И понятно, почему по умолчанию оно включено. Да и на персональном ноутбуке стоит включать. Хотя, возможно, это и паранойя. У меня практически все ходимые-на хосты и так перечислены в .ssh/config, так что эта опция, врубленная дебианом по умолчанию, бесполезна :) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/b34c2913-7c45-4bf2-86b3-0c21d314b...@lists.xtsubasa.org
Re: ~/.ssh/known_hosts
Sun, 15 Mar 2015 00:53:02 +0300 alexander barakin (aka sash-kan) a...@barak.in wrote: хэшируется только имя хоста. кстати, хэширование можно отключить в конфиге (я так всегда и делаю). Надеюсь при этом ты понимаешь для защиты от чего было добавлено это кэширование и чем ты рискуешь, выключив его. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:g...@cs.msu.su Skype: gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150317100957.795f8a56@snail
Re: ~/.ssh/known_hosts
17.03.2015, 10:10, Alexander GQ Gerasiov g...@cs.msu.su: Sun, 15 Mar 2015 00:53:02 +0300 alexander barakin (aka sash-kan) a...@barak.in wrote: хэшируется только имя хоста. кстати, хэширование можно отключить в конфиге (я так всегда и делаю). Надеюсь при этом ты понимаешь для защиты от чего было добавлено это кэширование и чем ты рискуешь, выключив его. да, я вполне осознанно иду на этот компромисс между удобством и безопасностью. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/4459311426589...@web8g.yandex.ru
Re: ~/.ssh/known_hosts
On Tue, 17 Mar 2015, Artem Chuprina wrote: Alexander GQ Gerasiov - debian-russian@lists.debian.org @ Tue, 17 Mar 2015 10:09:57 +0300: хэшируется только имя хоста. кстати, хэширование можно отключить в конфиге (я так всегда и делаю). AGG Надеюсь при этом ты понимаешь для защиты от чего было добавлено это AGG кэширование и чем ты рискуешь, выключив его. Понимать это, безусловно, полезно. Но надо хорошо понимать, что на практике это в основном защита от легального владельца :) Почему? Вообще говоря нет. Особенно на кластере. Скажем в ЦЕРНе пользователь сидит на afs и рекомендованная схема: known_hosts - ../public/known_hosts где public - директория доступная всему afs. Так что для любителей одного пароля или паролей типа: base+имя хоста хеширование может несколько облегчить страдания в случае... Хотя есть ситуации, когда включить хэширование стоит. И понятно, почему по умолчанию оно включено. Да и на персональном ноутбуке стоит включать. Хотя, возможно, это и паранойя. Ю.
Re: ~/.ssh/known_hosts
Alexander GQ Gerasiov - debian-russian@lists.debian.org @ Tue, 17 Mar 2015 10:09:57 +0300: хэшируется только имя хоста. кстати, хэширование можно отключить в конфиге (я так всегда и делаю). AGG Надеюсь при этом ты понимаешь для защиты от чего было добавлено это AGG кэширование и чем ты рискуешь, выключив его. Понимать это, безусловно, полезно. Но надо хорошо понимать, что на практике это в основном защита от легального владельца :) Хотя есть ситуации, когда включить хэширование стоит. И понятно, почему по умолчанию оно включено. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/877fufu9v8@silver.lasgalen.net
Re: ~/.ssh/known_hosts
On 03/17/2015 02:44 PM, Artem Chuprina wrote: Хотя есть ситуации, когда включить хэширование стоит. Какие? И понятно, почему по умолчанию оно включено. Почему? -- sergio. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/5508260d.7040...@sergio.spb.ru
Re: ~/.ssh/known_hosts
On Sun, Mar 15, 2015 at 03:42:03AM +0300, yuri.nefe...@gmail.com wrote: On Sun, 15 Mar 2015, Eugene Berdnikov wrote: В known_hosts имена и ip-шники хостов можно написать с шаблонами, например: lxplus*,lxplus*.cern.ch,137.138.*.* ... Это видимо .ssh/config имелся в виду. known_hosts ssh сам пишет. Шаблоны в known_hosts работают, и подправить этот файл ручками можно. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150315123229.gj23...@sie.protva.ru
Re: ~/.ssh/known_hosts
2015-03-15 1:14 GMT+03:00 alexander barakin (aka sash-kan) a...@barak.in: 15.03.2015, 00:18, Max Dmitrichenko dmitr...@gmail.com: Далее, нужно в .ssh/config добавить для этого хоста секцию: Host HostName CheckHostIP no checkhostip — это немножко про другое, про избежание «WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!»: http://serverfault.com/questions/193631/ssh-into-a-box-with-a-frequently-changed-ip И если вы прочитаете ответы на данный вопрос, то убедитесь, что именно это и нужно автору. SSH по дефолту при подключении к хосту, указанному ввиде DNS имени создаёт в known_hosts вторую запись с IP-адресом хоста. И не правда ваша, что IP-адрес не хэшируется. Хэшируется ровно так же. Так вот CheckHostIP no, во-первых, блокирует создание записи для IP хоста, а, во-вторых, не ищет при подключении соотв. запись для IP-адреса и не сравнивает ключ.
Re: ~/.ssh/known_hosts
Ну давайте рассуждать логически. Чудес ведь не бывает, и чтобы клиенту ssh что-то объяснить нужен какой-то инвариант. Я рекомендую этим инвариантом сделать DNS имя хоста с помощью какого-нибудь DynDNS сервиса. Далее, нужно в .ssh/config добавить для этого хоста секцию: Host HostName CheckHostIP no Сразу говорю, что не проверял, но по всему должно работать. 15 марта 2015 г., 0:08 пользователь Alex Kicelew arko...@gmail.com написал: Hi. Вопрос не совсем по дебиану, но около того. Вероятно, многие сталкивались с проблемой. Есть внешний хост с динамическим адресом. Чуть ли не при каждом заходе на этот хост его ключ в паре с новым адресом добавляется в known_hosts. Пул, из которого этот хост получает адреса, может быть очень большой (а то и практически бесконечно большой в случае какого-нибудь teredo), и может регулярно меняться, поэтому старые запомненные адреса становятся нафиг не нужным лишним грузом. Тем более, таких хостов может быть много. А в современных known_hosts все весьма нечеловекочитаемо, и чтобы оттуда что-то удалить, нужно знать, что именно. Вопрос. Существует ли какой-нибудь более-менее общепринятый способ решения этой проблемы? В идеале, конечно, хотелось бы способ удаления из known_hosts адресов, к которым давно не было обращения, но не уверен, что в новом формате known_hosts хранится необходимая для этого информация (в старом, человекочитаемом, не хранилась). Но может быть, можно как-то хотя бы просто просмотреть адреса, которые в нем хранятся? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/5504a349.1000...@gmail.com -- -- With best regards Max Dmitrichenko
Re: ~/.ssh/known_hosts
15.03.2015, 01:21, Max Dmitrichenko dmitr...@gmail.com: 2015-03-15 1:14 GMT+03:00 alexander barakin (aka sash-kan) a...@barak.in: 15.03.2015, 00:18, Max Dmitrichenko dmitr...@gmail.com: Далее, нужно в .ssh/config добавить для этого хоста секцию: Host HostName CheckHostIP no checkhostip — это немножко про другое, про избежание «WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!»: http://serverfault.com/questions/193631/ssh-into-a-box-with-a-frequently-changed-ip И если вы прочитаете ответы на данный вопрос, то убедитесь, что именно это и нужно автору. возможно, я не совсем уловил суть _всех_ озвученных проблем и больше сосредоточился на разрастании файла known_hosts. SSH по дефолту при подключении к хосту, указанному ввиде DNS имени создаёт в known_hosts вторую запись с IP-адресом хоста. у меня (wheezy, jessie) не создаёт, а записывает и fqdn и ip в том же первом поле. И не правда ваша, что IP-адрес не хэшируется. Хэшируется ровно так же. я этого и не утверждал, а написал: «хэшируется только имя хоста». да, вероятно, надо было написать более развёрнуто: хэшируется только первое поле, в которое записывается имя хоста (fqdn и/или ip) и номер порта. прошу прощения, если ввёл этой краткостью кого-то в заблуждение. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/2759471426373...@web20h.yandex.ru
Re: ~/.ssh/known_hosts
On 03/15/15 00:17, Max Dmitrichenko wrote: Далее, нужно в .ssh/config добавить для этого хоста секцию: Host HostName CheckHostIP no О, спасибо. Про эту опцию я напрочь забыл. Правда, вопрос о способе чистки уже накопленного остается. :) Можно, конечно, просто грохнуть этот файл и начать собирать его с нуля, но может, есть и менее радикальные способы. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/5504a656.7060...@gmail.com
Re: ~/.ssh/known_hosts
On Sun, Mar 15, 2015 at 12:08:25AM +0300, Alex Kicelew wrote: Вероятно, многие сталкивались с проблемой. Есть внешний хост с динамическим адресом. Чуть ли не при каждом заходе на этот хост его ключ в паре с новым адресом добавляется в known_hosts. Пул, из которого этот хост получает адреса, может быть очень большой (а то и практически бесконечно большой в случае какого-нибудь teredo), и может регулярно меняться, поэтому старые запомненные адреса становятся нафиг не нужным лишним грузом. В known_hosts имена и ip-шники хостов можно написать с шаблонами, например: lxplus*,lxplus*.cern.ch,137.138.*.* ... Тем более, таких хостов может быть много. А в современных known_hosts все весьма нечеловекочитаемо, HashKnownHosts no и чтобы оттуда что-то удалить, нужно знать, что именно. Удалите по ключу, если напрягает -- снесите всё и начните жизнь заново. информация (в старом, человекочитаемом, не хранилась). Но может быть, можно как-то хотя бы просто просмотреть адреса, которые в нем хранятся? Невозможно: там хранятся не адреса, а их хэши. Именно для того, чтобы имена и адреса узнать было невозможно, как самому юзеру, так и чрезмерно любопытным посторонним. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150314222723.ga24...@sie.protva.ru
~/.ssh/known_hosts
Hi. Вопрос не совсем по дебиану, но около того. Вероятно, многие сталкивались с проблемой. Есть внешний хост с динамическим адресом. Чуть ли не при каждом заходе на этот хост его ключ в паре с новым адресом добавляется в known_hosts. Пул, из которого этот хост получает адреса, может быть очень большой (а то и практически бесконечно большой в случае какого-нибудь teredo), и может регулярно меняться, поэтому старые запомненные адреса становятся нафиг не нужным лишним грузом. Тем более, таких хостов может быть много. А в современных known_hosts все весьма нечеловекочитаемо, и чтобы оттуда что-то удалить, нужно знать, что именно. Вопрос. Существует ли какой-нибудь более-менее общепринятый способ решения этой проблемы? В идеале, конечно, хотелось бы способ удаления из known_hosts адресов, к которым давно не было обращения, но не уверен, что в новом формате known_hosts хранится необходимая для этого информация (в старом, человекочитаемом, не хранилась). Но может быть, можно как-то хотя бы просто просмотреть адреса, которые в нем хранятся? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/5504a349.1000...@gmail.com
Re: ~/.ssh/known_hosts
On Sun, 15 Mar 2015, Eugene Berdnikov wrote: В known_hosts имена и ip-шники хостов можно написать с шаблонами, например: lxplus*,lxplus*.cern.ch,137.138.*.* ... Это видимо .ssh/config имелся в виду. known_hosts ssh сам пишет. Ю. p.s. Еще есть ssh-keygen -F hostname (-R hostname) правда hostname надо самому вспоминать. Так что не то конечно, но для полноты картины...
Re: ~/.ssh/known_hosts
15.03.2015, 00:08, Alex Kicelew arko...@gmail.com: Hi. Вопрос не совсем по дебиану, но около того. Вероятно, многие сталкивались с проблемой. Есть внешний хост с динамическим адресом. Чуть ли не при каждом заходе на этот хост его ключ в паре с новым адресом добавляется в known_hosts. Пул, из которого этот хост получает адреса, может быть очень большой (а то и практически бесконечно большой в случае какого-нибудь teredo), и может регулярно меняться, поэтому старые запомненные адреса становятся нафиг не нужным лишним грузом. Тем более, таких хостов может быть много. А в современных known_hosts все весьма нечеловекочитаемо, и чтобы оттуда что-то удалить, нужно знать, что именно. Вопрос. Существует ли какой-нибудь более-менее общепринятый способ решения этой проблемы? В идеале, конечно, хотелось бы способ удаления из known_hosts адресов, к которым давно не было обращения, но не уверен, что в новом формате known_hosts хранится необходимая для этого информация (в старом, человекочитаемом, не хранилась). Но может быть, можно как-то хотя бы просто просмотреть адреса, которые в нем хранятся? хэшируется только имя хоста. кстати, хэширование можно отключить в конфиге (я так всегда и делаю). удалите все записи, содержащие нужный ключ — вот и будет «чистота и порядок». например, так: $ sort -k 3 -u ~/.ssh/known_hosts ~/.ssh/known_hosts.sorted -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/2656981426369...@web9g.yandex.ru
Re: ~/.ssh/known_hosts
15.03.2015, 00:18, Max Dmitrichenko dmitr...@gmail.com: Далее, нужно в .ssh/config добавить для этого хоста секцию: Host HostName CheckHostIP no checkhostip — это немножко про другое, про избежание «WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!»: http://serverfault.com/questions/193631/ssh-into-a-box-with-a-frequently-changed-ip -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/2618641426371...@web18g.yandex.ru
Re: ~/.ssh/known_hosts
Max Dmitrichenko - Alex Kicelew @ Sun, 15 Mar 2015 00:17:57 +0300: MD Ну давайте рассуждать логически. Чудес ведь не бывает, и чтобы клиенту MD ssh что-то объяснить нужен какой-то инвариант. Я рекомендую этим MD инвариантом сделать DNS имя хоста с помощью какого-нибудь DynDNS MD сервиса. MD Далее, нужно в .ssh/config добавить для этого хоста секцию: MD Host HostName MD CheckHostIP no MD Сразу говорю, что не проверял, но по всему должно работать. Работает. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/871tkqyfxo@silver.lasgalen.net