SSH und HashKnownHosts

HashKnownHosts YES or NO

Seit Debian Lenny werden die KnownHosts nicht mehr im Klartext angezeigt sondern als Hashwert. Der Defaultwert ist HashKnownHosts yes. Die Idee dahinter ist es, einem Angreifer es möglichst schwer zu machen, herauszufinden auf welche Host sich der USER via SSH anmeldet. Aus IT-Sicherheitsperspektive ist das schlau gedacht.

In eher unkritischen Umfeld und wenn man es etwas bequemer machen will und die KnownHosts im Klartext erkennen will, kann man die Option HashKnownHosts yes in HashKnownHosts no ändern oder auskommentieren. Das geht über die entsprechende Konfigurationsdatei auf der Clientseite.

Schritt 1

Gehe auf der SSH-Clientseite in das Verzeichnis /etc/ssh/ und öffne die Datei ssh_config (mit root bzw. sudo).

sudo nano /etc/ssh/ssh_config

Schritt 2

‚Kommentiere‘ den Defaultwert durch das vorstellen einer ‚Raute‘ (#) aus.

#   HashKnownHosts yes

Ab sofort werden alle neuen „KnownHosts“ im Klartext abgespeichert HOME/USER/.ssh/knownhost. Die alten bleiben natürlich verhasht.