known_hosts ファイル.

OpenSSH クライアントの ~/.ssh/known_hosts。サーバの公開鍵を固定し、ホスト鍵の変化を検知して中間者攻撃の兆候を捉えるためのファイル。 サイバーセキュリティの ネットワークセキュリティ カテゴリに属します。

OpenSSH クライアントの ~/.ssh/known_hosts。サーバの公開鍵を固定し、ホスト鍵の変化を検知して中間者攻撃の兆候を捉えるためのファイル。

known_hosts ファイルは、SSH サーバの身元に対する Trust-On-First-Use(TOFU)モデルを実現します。あるホストへの初回接続時、ユーザは公開鍵のフィンガープリントを検証して受け入れ、OpenSSH はホスト名と鍵を known_hosts(システム全体用に /etc/ssh/ssh_known_hosts も存在)に記録します。次回以降の接続では提示された鍵と記録を比較し、異なる場合は中間者攻撃の可能性を警告して接続を拒否します。既定でホスト名のハッシュ化が有効(HashKnownHosts yes)なので、ファイルが漏洩しても訪問先一覧は分かりません。さらに強固な選択肢として、CA が署名したホスト証明書(TrustedUserCAKeys / @cert-authority)、DNSSEC で署名された DNS SSHFP レコード(RFC 4255)、本番アクセスでは StrictHostKeyChecking=yes による対話プロンプトの拒否があります。

known_hosts ファイル に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: ~/.ssh/known_hosts, SSH ホスト TOFU。