known_hosts-Datei
Was ist known_hosts-Datei?
known_hosts-DateiOpenSSH-Client-Datei (~/.ssh/known_hosts), die offentliche Server-Schlussel verankert, damit SSH Host-Key-Anderungen als Hinweis auf MITM-Angriffe erkennen kann.
Die known_hosts-Datei realisiert das Trust-on-First-Use-Modell (TOFU) fur SSH-Serveridentitaten. Beim ersten Verbindungsaufbau muss der Benutzer den Fingerabdruck des offentlichen Schlussels prufen und akzeptieren; OpenSSH speichert Host und Schlussel anschliessend in known_hosts (zusatzlich existiert /etc/ssh/ssh_known_hosts systemweit). Bei spateren Verbindungen vergleicht OpenSSH den gebotenen Schlussel mit dem Eintrag und lehnt die Verbindung bei Abweichung mit einer MITM-Warnung ab. Hostnamen werden standardmassig gehashed (HashKnownHosts yes), sodass eine Offenlegung der Datei die besuchten Hosts nicht preisgibt. Starkere Optionen sind CA-signierte Host-Zertifikate (TrustedUserCAKeys / @cert-authority), per DNSSEC signierte SSHFP-Records (RFC 4255) und das Setzen von StrictHostKeyChecking=yes fur Produktivzugriffe.
● Beispiele
- 01
OpenSSH zeigt 'REMOTE HOST IDENTIFICATION HAS CHANGED!', wenn der Host-Schlussel in known_hosts nicht mehr passt.
- 02
Einsatz von SSH-Zertifikaten mit @cert-authority-Eintragen, damit hunderte Server nicht einzeln in known_hosts stehen mussen.
● Häufige Fragen
Was ist known_hosts-Datei?
OpenSSH-Client-Datei (~/.ssh/known_hosts), die offentliche Server-Schlussel verankert, damit SSH Host-Key-Anderungen als Hinweis auf MITM-Angriffe erkennen kann. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet known_hosts-Datei?
OpenSSH-Client-Datei (~/.ssh/known_hosts), die offentliche Server-Schlussel verankert, damit SSH Host-Key-Anderungen als Hinweis auf MITM-Angriffe erkennen kann.
Wie funktioniert known_hosts-Datei?
Die known_hosts-Datei realisiert das Trust-on-First-Use-Modell (TOFU) fur SSH-Serveridentitaten. Beim ersten Verbindungsaufbau muss der Benutzer den Fingerabdruck des offentlichen Schlussels prufen und akzeptieren; OpenSSH speichert Host und Schlussel anschliessend in known_hosts (zusatzlich existiert /etc/ssh/ssh_known_hosts systemweit). Bei spateren Verbindungen vergleicht OpenSSH den gebotenen Schlussel mit dem Eintrag und lehnt die Verbindung bei Abweichung mit einer MITM-Warnung ab. Hostnamen werden standardmassig gehashed (HashKnownHosts yes), sodass eine Offenlegung der Datei die besuchten Hosts nicht preisgibt. Starkere Optionen sind CA-signierte Host-Zertifikate (TrustedUserCAKeys / @cert-authority), per DNSSEC signierte SSHFP-Records (RFC 4255) und das Setzen von StrictHostKeyChecking=yes fur Produktivzugriffe.
Wie schützt man sich gegen known_hosts-Datei?
Schutzmaßnahmen gegen known_hosts-Datei kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für known_hosts-Datei?
Übliche alternative Bezeichnungen: ~/.ssh/known_hosts, SSH-Host-TOFU.
● Verwandte Begriffe
- network-security№ 1089
SSH-Schlusseltypen
Asymmetrische Schlusselalgorithmen, die OpenSSH zur Benutzer- und Host-Authentifizierung akzeptiert: RSA, ECDSA (NIST-Kurven) und der moderne Default Ed25519.
- network-security№ 1088
SSH-Agent-Forwarding
OpenSSH-Funktion (mit -A oder ForwardAgent yes), die auf dem Remote-Host einen UNIX-Socket bereitstellt, damit Befehle dort den lokalen SSH-Agent fur weitere Hops nutzen konnen.
- network-security№ 345
DNSSEC
Eine Reihe von DNS-Erweiterungen, die digitale Signaturen verwenden, damit Resolver die Echtheit und Integrität von DNS-Einträgen überprüfen können.
- network-security№ 1087
SSH
Ein kryptografisches Netzwerkprotokoll (RFC 4251, Port 22), das authentifizierte, verschlusselte und integritatsgeschutzte Fernanmeldungen, Befehlsausfuhrung und Tunnel uber unsichere Netze ermoglicht.