Wie kann ich der SSH- known_hostsDatei sicher einen Hostschlüssel hinzufügen ?

Ich richte eine Entwicklungsmaschine ein und möchte (z. B.) verhindern, dass gitbeim Klonen eines Repositorys github.comSSH verwendet wird.

Ich weiß, dass ich StrictHostKeyChecking=no(z. B. diese Antwort ) verwenden kann, aber das ist nicht sicher.

Bisher habe ich gefunden ...

1. GitHub veröffentlicht seine SSH-Key-Fingerabdrücke unter https://help.github.com/articles/github-s-ssh-key-fingerprints/

2. Ich kann verwenden ssh-keyscan, um den Host-Schlüssel für zu bekommen github.com.

Wie verbinde ich diese Fakten? Wie überprüfe ich anhand einer vorab ausgefüllten Liste von Fingerabdrücken, ob die Ausgabe von ssh-keyscander known_hostsDatei hinzugefügt werden kann?

Ich schätze, ich frage Folgendes:

Wie erhalte ich den Fingerabdruck für einen zurückgegebenen Schlüssel ssh-keyscan?

Angenommen, ich bin bereits für SSH MITM- geprüft, kann aber der GitHub-HTTPS-Seite vertrauen (da sie eine gültige Zertifikatskette hat).

Das bedeutet, dass ich einige (verdächtige) SSH-Hostschlüssel (von ssh-keyscan) und einige (vertrauenswürdige) Fingerabdrücke habe. Wie überprüfe ich eins gegen das andere?

Verwandte: Wie hashe ich den Host-Teil der Ausgabe von ssh-keyscan? Oder kann ich gehashte / nicht gehashte Hosts einmischen known_hosts?

Der wichtigste Teil des "sicheren" Hinzufügens eines Schlüssels zur known_hostsDatei ist das Abrufen des Schlüsselfingerabdrucks vom Serveradministrator. Der Schlüsselfingerabdruck sollte ungefähr so ​​aussehen:

2048 SHA256:nThbg6kXUpJWGl7E1IGOCspRomTxdCARLviKw6E5SY8 github.com (RSA)

Bei GitHub können wir normalerweise nicht direkt mit einem Administrator sprechen. Sie platzieren den Schlüssel jedoch auf ihren Webseiten, damit wir die Informationen von dort wiederherstellen können.

Manuelle Schlüsselinstallation

1) Nehmen Sie eine Kopie des Schlüssels vom Server und holen Sie sich den Fingerabdruck. Hinweis: Tun Sie dies, bevor Sie den Fingerabdruck überprüfen.

$ ssh-keyscan -t rsa github.com | tee github-key-temp | ssh-keygen -lf -
# github.com:22 SSH-2.0-babeld-f3847d63
2048 SHA256:nThbg6kXUpJWGl7E1IGOCspRomTxdCARLviKw6E5SY8 github.com (RSA)

2) Fordern Sie vom Serveradministrator eine Kopie des Schlüsselfingerabdrucks an. Navigieren Sie in diesem Fall zu der Seite mit den Informationen auf github.com

1. Gehen Sie zu github.com
2. Gehen Sie auf die Hilfe - Seite (im Menü auf der rechten Seite, wenn Sie angemeldet, am unteren Rand der Homepage aus anderen Gründen ).
3. Im Ersten Schritt Abschnitt geht mit SSH zu GitHub Connecting
4. Gehen Sie zu Testen Ihrer SSH-Verbindung
5. Kopieren Sie den SHA256-Fingerabdruck von dieser Seite zur späteren Verwendung in Ihren Texteditor.

3) Vergleichen Sie die Schlüssel der beiden Quellen

Indem Sie sie direkt übereinander in einem Texteditor platzieren, können Sie leicht feststellen, ob sich etwas geändert hat

2048 SHA256:nThbg6kXUpJWGl7E1IGOCspRomTxdCARLviKw6E5SY8 github.com (RSA) #key recovered from github website
2048 SHA256:nThbg6kXUpJ3Gl7E1InsaspRomtxdcArLviKaEsTGY8 github.com (RSA) #key recovered with keyscan

(Beachten Sie, dass der zweite Schlüssel manipuliert wurde, aber dem Original ziemlich ähnlich ist. Wenn so etwas passiert, werden Sie ernsthaft angegriffen und sollten sich an einen vertrauenswürdigen Sicherheitsexperten wenden.)

Wenn die Schlüssel unterschiedlich sind, brechen Sie den Vorgang ab und setzen sich mit einem Sicherheitsexperten in Verbindung

4) Wenn die Schlüssel korrekt verglichen werden, sollten Sie den bereits heruntergeladenen Schlüssel installieren

cat github-key-temp >> ~/.ssh/known_hosts

Oder für alle Benutzer auf einem System (als root) installieren:

cat github-key-temp >> /etc/ssh/ssh_known_hosts

Automatisierte Schlüsselinstallation

Wenn Sie während eines Erstellungsvorgangs einen Schlüssel hinzufügen müssen, befolgen Sie die Schritte 1-3 des obigen manuellen Vorgangs.

Nachdem Sie dies getan haben, überprüfen Sie den Inhalt Ihrer github-key-tempDatei und erstellen Sie ein Skript, um diesen Inhalt zu Ihrer bekannten Hosts-Datei hinzuzufügen.

if ! grep github.com ~/.ssh/known_hosts > /dev/null
then
     echo "github.com ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAq2A7hRGmdnm9tUDbO9IDSwBK6TbQa+PXYPCPy6rbTrTtw7PHkccKrpp0yVhp5HdEIcKr6pLlVDBfOLX9QUsyCOV0wzfjIJNlGEYsdlLJizHhbn2mUjvSAHQqZETYP81eFzLQNnPHt4EVVUh7VfDESU84KezmD5QlWpXLmvU31/yMf+Se8xhHTvKSCZIFImWwoG6mbUoWf9nzpIoaSjB+weqqUUmpaaasXVal72J+UX2B+2RPW3RcT0eOzQgqlJL3RKrTJvdsjE3JEAvGq3lGHSZXy28G3skua2SmVi/w4yCE6gbODqnTWlg7+wC604ydGXA8VJiS5ap43JXiUFFAaQ==" >> ~/.ssh/known_hosts
fi

Sie sollten nun loswerden irgendwelche sshBefehle , die haben StrictHostKeyCheckingdeaktiviert.

Sie können hashed / unhashed-Einträge in Ihrer known_hosts-Datei mischen.

Wenn Sie also einen Github-Schlüssel hinzufügen möchten, können Sie Folgendes tun:

ssh-keyscan github.com >> ~/.ssh/known_hosts

Wenn Sie wollen, dass es gehasht wird, fügen Sie -H hinzu

ssh-keyscan -H github.com >> ~/.ssh/known_hosts

Am einfachsten ist es, die Schlüssel manuell abzurufen ssh-keyscanund manuell zu überprüfen:

$ ssh-keyscan -t rsa github.com | ssh-keygen -lf -
# github.com:22 SSH-2.0-libssh-0.7.0
2048 SHA256:nThbg6kXUpJWGl7E1IGOCspRomTxdCARLviKw6E5SY8 github.com (RSA)

Fügen Sie sie Ihrem Skript hinzu, das dann den "maßgeblichen" öffentlichen Schlüssel enthält.