StrictHostKeyChecking

3 réponses
Avatar
Thomas
bonjour :-)


je souhaite que mon ssh réponde "yes" automatiquement quand il y a un
hôte qu'il ne connait pas
(parce que ça arrive tellement souvent que ça m'ennuie, et puis c'est
surtout embêtant pour les scripts)

mais je veux que son comportement ne change pas par ailleurs (cad que
pour les hôtes qu'il connait, si la clé a changé, refus total)


man ssh_config :

StrictHostKeyChecking
If this flag is set to ``no'', ssh will automatically add new host keys
to the user known hosts files.

mais ça n'et pas precisé "and refuses to connect to hosts whose host key
has changed.", comme pour yes et ask


est ce que qqn peut me confirmer que ça a le comportement que j'attend,
svp ?

--
Téléassistance / Télémaintenance
http://invites.biocer.fr/thomas-de-contes/

3 réponses

Avatar
Damien Wyart
* Thomas in fr.comp.os.unix:
man ssh_config :
StrictHostKeyChecking
If this flag is set to ``no'', ssh will automatically add new host keys
to the user known hosts files.

mais ça n'et pas precisé "and refuses to connect to hosts whose host key
has changed.", comme pour yes et ask



En effet, ça n'est pas le cas. On passe en mode "dégradé" mais ça ne
refuse pas la connexion.

Cf sshconnect.c (dans les sources) :

/*
* If strict host key checking has not been requested, allow
* the connection but without MITM-able authentication or
* forwarding.
*/

Et ensuite ça désactive les authentifications par mot de passe, par
clavier et pas challenge/réponse, ainsi que différents aspects du
forwarding. Mais pas de

error("%s host key for %.200s has changed and you have "
"requested strict checking.", type, host);
goto fail;

comme dans la cas où StrictHostKeyChecking est à yes.

est ce que qqn peut me confirmer que ça a le comportement que
j'attend, svp ?



Non, ce que tu souhaites ne semble pas possible.

--
DW
Avatar
Paul Gaborit
À (at) Sun, 13 Jan 2013 19:42:34 +0100,
Thomas écrivait (wrote):

je souhaite que mon ssh réponde "yes" automatiquement quand il y a un
hôte qu'il ne connait pas
(parce que ça arrive tellement souvent que ça m'ennuie, et puis c'est
surtout embêtant pour les scripts)

mais je veux que son comportement ne change pas par ailleurs (cad que
pour les hôtes qu'il connait, si la clé a changé, refus total)



Ça n'a pas vraiment de sens... Pourquoi faire confiance la première fois
et pas les autres ?

--
Paul Gaborit - <http://perso.mines-albi.fr/~gaborit/>
Avatar
Benoit Izac
Bonjour,

le 13/01/2013 à 23:22, Paul Gaborit a écrit dans le message
:

je souhaite que mon ssh réponde "yes" automatiquement quand il y a un
hôte qu'il ne connait pas
(parce que ça arrive tellement souvent que ça m'ennuie, et puis c'est
surtout embêtant pour les scripts)

mais je veux que son comportement ne change pas par ailleurs (cad que
pour les hôtes qu'il connait, si la clé a changé, refus total)



Ça n'a pas vraiment de sens... Pourquoi faire confiance la première fois
et pas les autres ?



Parce que généralement, la première fois que l'on se connecte, on
considère que la machine où l'on se connecte est la bonne. Peu de gens
(ou alors je suis à coté de la plaque) vérifient systématiquement que la
clé est celle qu'elle doit être. Parfois même, on n'a aucun moyen de
vérifier que c'est la bonne (genre après l'installation d'un serveur
dédié).

C'est un peu la même chose que lorsque l'on rencontre une personne pour
la première fois, on demande rarement sa pièce d'identité mais les fois
suivantes on sait tout de suite si c'est elle ou non.

Après, si on est vraiment parano, effectivement ça n'a pas de sens...

--
Benoit Izac