je souhaite que mon ssh réponde "yes" automatiquement quand il y a un
hôte qu'il ne connait pas
(parce que ça arrive tellement souvent que ça m'ennuie, et puis c'est
surtout embêtant pour les scripts)
mais je veux que son comportement ne change pas par ailleurs (cad que
pour les hôtes qu'il connait, si la clé a changé, refus total)
man ssh_config :
StrictHostKeyChecking
If this flag is set to ``no'', ssh will automatically add new host keys
to the user known hosts files.
mais ça n'et pas precisé "and refuses to connect to hosts whose host key
has changed.", comme pour yes et ask
est ce que qqn peut me confirmer que ça a le comportement que j'attend,
svp ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Damien Wyart
* Thomas in fr.comp.os.unix:
man ssh_config : StrictHostKeyChecking If this flag is set to ``no'', ssh will automatically add new host keys to the user known hosts files.
mais ça n'et pas precisé "and refuses to connect to hosts whose host key has changed.", comme pour yes et ask
En effet, ça n'est pas le cas. On passe en mode "dégradé" mais ça ne refuse pas la connexion.
Cf sshconnect.c (dans les sources) :
/* * If strict host key checking has not been requested, allow * the connection but without MITM-able authentication or * forwarding. */
Et ensuite ça désactive les authentifications par mot de passe, par clavier et pas challenge/réponse, ainsi que différents aspects du forwarding. Mais pas de
error("%s host key for %.200s has changed and you have " "requested strict checking.", type, host); goto fail;
comme dans la cas où StrictHostKeyChecking est à yes.
est ce que qqn peut me confirmer que ça a le comportement que j'attend, svp ?
Non, ce que tu souhaites ne semble pas possible.
-- DW
* Thomas <fantome.forums.tDeContes@free.fr.invalid> in fr.comp.os.unix:
man ssh_config :
StrictHostKeyChecking
If this flag is set to ``no'', ssh will automatically add new host keys
to the user known hosts files.
mais ça n'et pas precisé "and refuses to connect to hosts whose host key
has changed.", comme pour yes et ask
En effet, ça n'est pas le cas. On passe en mode "dégradé" mais ça ne
refuse pas la connexion.
Cf sshconnect.c (dans les sources) :
/*
* If strict host key checking has not been requested, allow
* the connection but without MITM-able authentication or
* forwarding.
*/
Et ensuite ça désactive les authentifications par mot de passe, par
clavier et pas challenge/réponse, ainsi que différents aspects du
forwarding. Mais pas de
error("%s host key for %.200s has changed and you have "
"requested strict checking.", type, host);
goto fail;
comme dans la cas où StrictHostKeyChecking est à yes.
est ce que qqn peut me confirmer que ça a le comportement que
j'attend, svp ?
man ssh_config : StrictHostKeyChecking If this flag is set to ``no'', ssh will automatically add new host keys to the user known hosts files.
mais ça n'et pas precisé "and refuses to connect to hosts whose host key has changed.", comme pour yes et ask
En effet, ça n'est pas le cas. On passe en mode "dégradé" mais ça ne refuse pas la connexion.
Cf sshconnect.c (dans les sources) :
/* * If strict host key checking has not been requested, allow * the connection but without MITM-able authentication or * forwarding. */
Et ensuite ça désactive les authentifications par mot de passe, par clavier et pas challenge/réponse, ainsi que différents aspects du forwarding. Mais pas de
error("%s host key for %.200s has changed and you have " "requested strict checking.", type, host); goto fail;
comme dans la cas où StrictHostKeyChecking est à yes.
est ce que qqn peut me confirmer que ça a le comportement que j'attend, svp ?
Non, ce que tu souhaites ne semble pas possible.
-- DW
Paul Gaborit
À (at) Sun, 13 Jan 2013 19:42:34 +0100, Thomas écrivait (wrote):
je souhaite que mon ssh réponde "yes" automatiquement quand il y a un hôte qu'il ne connait pas (parce que ça arrive tellement souvent que ça m'ennuie, et puis c'est surtout embêtant pour les scripts)
mais je veux que son comportement ne change pas par ailleurs (cad que pour les hôtes qu'il connait, si la clé a changé, refus total)
Ça n'a pas vraiment de sens... Pourquoi faire confiance la première fois et pas les autres ?
-- Paul Gaborit - <http://perso.mines-albi.fr/~gaborit/>
À (at) Sun, 13 Jan 2013 19:42:34 +0100,
Thomas <fantome.forums.tDeContes@free.fr.invalid> écrivait (wrote):
je souhaite que mon ssh réponde "yes" automatiquement quand il y a un
hôte qu'il ne connait pas
(parce que ça arrive tellement souvent que ça m'ennuie, et puis c'est
surtout embêtant pour les scripts)
mais je veux que son comportement ne change pas par ailleurs (cad que
pour les hôtes qu'il connait, si la clé a changé, refus total)
Ça n'a pas vraiment de sens... Pourquoi faire confiance la première fois
et pas les autres ?
--
Paul Gaborit - <http://perso.mines-albi.fr/~gaborit/>
À (at) Sun, 13 Jan 2013 19:42:34 +0100, Thomas écrivait (wrote):
je souhaite que mon ssh réponde "yes" automatiquement quand il y a un hôte qu'il ne connait pas (parce que ça arrive tellement souvent que ça m'ennuie, et puis c'est surtout embêtant pour les scripts)
mais je veux que son comportement ne change pas par ailleurs (cad que pour les hôtes qu'il connait, si la clé a changé, refus total)
Ça n'a pas vraiment de sens... Pourquoi faire confiance la première fois et pas les autres ?
-- Paul Gaborit - <http://perso.mines-albi.fr/~gaborit/>
Benoit Izac
Bonjour,
le 13/01/2013 à 23:22, Paul Gaborit a écrit dans le message :
je souhaite que mon ssh réponde "yes" automatiquement quand il y a un hôte qu'il ne connait pas (parce que ça arrive tellement souvent que ça m'ennuie, et puis c'est surtout embêtant pour les scripts)
mais je veux que son comportement ne change pas par ailleurs (cad que pour les hôtes qu'il connait, si la clé a changé, refus total)
Ça n'a pas vraiment de sens... Pourquoi faire confiance la première fois et pas les autres ?
Parce que généralement, la première fois que l'on se connecte, on considère que la machine où l'on se connecte est la bonne. Peu de gens (ou alors je suis à coté de la plaque) vérifient systématiquement que la clé est celle qu'elle doit être. Parfois même, on n'a aucun moyen de vérifier que c'est la bonne (genre après l'installation d'un serveur dédié).
C'est un peu la même chose que lorsque l'on rencontre une personne pour la première fois, on demande rarement sa pièce d'identité mais les fois suivantes on sait tout de suite si c'est elle ou non.
Après, si on est vraiment parano, effectivement ça n'a pas de sens...
-- Benoit Izac
Bonjour,
le 13/01/2013 à 23:22, Paul Gaborit a écrit dans le message
<wt9txqkrada.fsf@mirabeau.mines-albi.fr> :
je souhaite que mon ssh réponde "yes" automatiquement quand il y a un
hôte qu'il ne connait pas
(parce que ça arrive tellement souvent que ça m'ennuie, et puis c'est
surtout embêtant pour les scripts)
mais je veux que son comportement ne change pas par ailleurs (cad que
pour les hôtes qu'il connait, si la clé a changé, refus total)
Ça n'a pas vraiment de sens... Pourquoi faire confiance la première fois
et pas les autres ?
Parce que généralement, la première fois que l'on se connecte, on
considère que la machine où l'on se connecte est la bonne. Peu de gens
(ou alors je suis à coté de la plaque) vérifient systématiquement que la
clé est celle qu'elle doit être. Parfois même, on n'a aucun moyen de
vérifier que c'est la bonne (genre après l'installation d'un serveur
dédié).
C'est un peu la même chose que lorsque l'on rencontre une personne pour
la première fois, on demande rarement sa pièce d'identité mais les fois
suivantes on sait tout de suite si c'est elle ou non.
Après, si on est vraiment parano, effectivement ça n'a pas de sens...
le 13/01/2013 à 23:22, Paul Gaborit a écrit dans le message :
je souhaite que mon ssh réponde "yes" automatiquement quand il y a un hôte qu'il ne connait pas (parce que ça arrive tellement souvent que ça m'ennuie, et puis c'est surtout embêtant pour les scripts)
mais je veux que son comportement ne change pas par ailleurs (cad que pour les hôtes qu'il connait, si la clé a changé, refus total)
Ça n'a pas vraiment de sens... Pourquoi faire confiance la première fois et pas les autres ?
Parce que généralement, la première fois que l'on se connecte, on considère que la machine où l'on se connecte est la bonne. Peu de gens (ou alors je suis à coté de la plaque) vérifient systématiquement que la clé est celle qu'elle doit être. Parfois même, on n'a aucun moyen de vérifier que c'est la bonne (genre après l'installation d'un serveur dédié).
C'est un peu la même chose que lorsque l'on rencontre une personne pour la première fois, on demande rarement sa pièce d'identité mais les fois suivantes on sait tout de suite si c'est elle ou non.
Après, si on est vraiment parano, effectivement ça n'a pas de sens...