systemadmin.es > Seguridad > Introducir automáticamente el fingerprint al fichero known_hosts

Introducir automáticamente el fingerprint al fichero known_hosts

Al conectar a un host nuevo mediante ssh siempre nos encontraremos con el mensaje de aceptación del fingerprint si no lo tenemos en el fichero known_hosts. Vamos a ver como desactivar esta comprobación de seguridad haciendo que se introduzca siempre en el fichero known_hosts sin preguntar.

El mensaje que nos da el ssh al conectar a un host que no conoce es:

The authenticity of host '10.11.11.1 (10.11.11.1)' can't be established.
RSA key fingerprint is 4e:32:e2:ff:de:ad:be:ef:ff:30:2f:78:90:ba:ef:35.
Are you sure you want to continue connecting (yes/no)?

Esto puede ser realmente un problema para automatizar conexiones a hosts con IP dinámica (ADSLs). Añadiendo el parámetro StrictHostKeyChecking en la línea de conexión del ssh permitiremos la introducción del fingerprint al fichero known_hosts de forma automática:

ssh -o 'StrictHostKeyChecking no' -l noc 10.11.11.1
Warning: Permanently added '10.11.11.1' (RSA) to the list of known hosts.

Gracias a esto podremos automatizar la conexión a sistemas con IP dinámica sin que esta comprobación impida la conexión. Evidentemente, implica una menor seguridad, por lo que debemos tener cuidado en que entornos aplicamos esta medida.

Si además no queremos que se guarde el fingerprint podemos enviarlo a /dev/null mediante el parámetro UserKnownHostsFile:

# ssh -o 'StrictHostKeyChecking no' -o 'UserKnownHostsFile /dev/null' -l noc 10.11.11.1
Warning: Permanently added '10.11.11.1' (RSA) to the list of known hosts.

Deja un comentario:

XHTML - Tags permitidos:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>