Fichier known_hosts
Qu'est-ce que Fichier known_hosts ?
Fichier known_hostsFichier client OpenSSH (~/.ssh/known_hosts) qui memorise les cles publiques des serveurs pour que SSH detecte les changements de host-key pouvant trahir une attaque MITM.
Le fichier known_hosts realise un modele trust-on-first-use (TOFU) pour les identites des serveurs SSH. Lors de la premiere connexion, l'utilisateur doit verifier et accepter l'empreinte de la cle publique ; OpenSSH enregistre alors l'hote et la cle dans known_hosts (il existe aussi /etc/ssh/ssh_known_hosts globalement). Aux connexions suivantes, OpenSSH compare la cle proposee a l'enregistrement et refuse la connexion si elles different, avertissant d'un MITM possible. Le hachage des noms est actif par defaut (HashKnownHosts yes), donc la divulgation du fichier ne revele pas la liste des hotes visites. Pour aller plus loin : certificats hote signes par une CA (TrustedUserCAKeys / @cert-authority), enregistrements SSHFP DNSSEC (RFC 4255) et rejet de tout prompt en mode StrictHostKeyChecking=yes pour la production.
● Exemples
- 01
L'alerte OpenSSH 'REMOTE HOST IDENTIFICATION HAS CHANGED!' lorsque la cle en known_hosts ne correspond plus.
- 02
Utiliser des certificats SSH et des entrees @cert-authority pour eviter d'avoir des centaines de serveurs un a un dans known_hosts.
● Questions fréquentes
Qu'est-ce que Fichier known_hosts ?
Fichier client OpenSSH (~/.ssh/known_hosts) qui memorise les cles publiques des serveurs pour que SSH detecte les changements de host-key pouvant trahir une attaque MITM. Cette notion relève de la catégorie Sécurité réseau en cybersécurité.
Que signifie Fichier known_hosts ?
Fichier client OpenSSH (~/.ssh/known_hosts) qui memorise les cles publiques des serveurs pour que SSH detecte les changements de host-key pouvant trahir une attaque MITM.
Comment fonctionne Fichier known_hosts ?
Le fichier known_hosts realise un modele trust-on-first-use (TOFU) pour les identites des serveurs SSH. Lors de la premiere connexion, l'utilisateur doit verifier et accepter l'empreinte de la cle publique ; OpenSSH enregistre alors l'hote et la cle dans known_hosts (il existe aussi /etc/ssh/ssh_known_hosts globalement). Aux connexions suivantes, OpenSSH compare la cle proposee a l'enregistrement et refuse la connexion si elles different, avertissant d'un MITM possible. Le hachage des noms est actif par defaut (HashKnownHosts yes), donc la divulgation du fichier ne revele pas la liste des hotes visites. Pour aller plus loin : certificats hote signes par une CA (TrustedUserCAKeys / @cert-authority), enregistrements SSHFP DNSSEC (RFC 4255) et rejet de tout prompt en mode StrictHostKeyChecking=yes pour la production.
Comment se défendre contre Fichier known_hosts ?
Les défenses contre Fichier known_hosts combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Fichier known_hosts ?
Noms alternatifs courants : ~/.ssh/known_hosts, TOFU host SSH.
● Termes liés
- network-security№ 1089
Types de cles SSH
Algorithmes de cles asymetriques acceptes par OpenSSH pour l'authentification utilisateur et hote : RSA, ECDSA (courbes NIST) et le defaut moderne Ed25519.
- network-security№ 1088
Forwarding d'agent SSH
Fonctionnalite d'OpenSSH activee par -A ou ForwardAgent yes qui expose une socket UNIX sur l'hote distant pour que ses commandes utilisent l'agent SSH local lors des sauts suivants.
- network-security№ 345
DNSSEC
Ensemble d'extensions du DNS qui utilise des signatures numériques pour permettre aux résolveurs de vérifier l'authenticité et l'intégrité des enregistrements DNS.
- network-security№ 1087
SSH
Protocole reseau cryptographique (RFC 4251, port 22) qui fournit une session a distance, l'execution de commandes et des tunnels authentifies, chiffres et integres sur un reseau non fiable.