{"id":8875,"date":"2012-08-01T00:14:57","date_gmt":"2012-07-31T22:14:57","guid":{"rendered":"https:\/\/www.gambaru.de\/blog\/?p=8875"},"modified":"2019-09-26T23:52:57","modified_gmt":"2019-09-26T21:52:57","slug":"ssh-deaktivieren-von-stricthostkeychecking","status":"publish","type":"post","link":"https:\/\/gambaru.de\/blog\/2012\/08\/01\/ssh-deaktivieren-von-stricthostkeychecking\/","title":{"rendered":"SSH: Deaktivieren von StrictHostKeyChecking"},"content":{"rendered":"<p>Auf meinem Intel-Core-Duo-Rechner benutze ich verschiedene Betriebssysteme und betreibe ein Multiboot-System. Das hilft mir dabei Aufgaben und Software zu trennen, die ich nicht alle gemeinsam unter einem System installieren m\u00f6chte.<br \/>\nRegelm\u00e4\u00dfig kommt es jedoch vor, dass ich mich per SSH von einem Laptop zu diesem Rechner verbinde oder Daten per scp austausche. Als vertrauensw\u00fcrdiges Ziel habe ich dabei meine Debian-Testing-Installation mit Gnome 3 ausgew\u00e4hlt und den dortigen Host-Key zu meiner Datei <em>~\/.ssh\/known_hosts<\/em> hinzugef\u00fcgt.<br \/>\nWechsele ich dann zu einem parallel installierten Betriebssystem, begr\u00fc\u00dft mich diese Meldung hier.<\/p>\n<pre>@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@\n@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @\n@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@\nIT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!\nSomeone could be eavesdropping on you right now (man-in-the-middle attack)!\n<\/pre>\n<p>Der SSH-Klient macht hier alles richtig und warnt mich davor, dass die Identifikation des Rechners sich nun ge\u00e4ndert hat. Das hat mich bisher nie richtig gest\u00f6rt. Entweder habe ich die Datei <em>.ssh\/known_hosts<\/em> gel\u00f6scht oder mich von einem anderen Laptop eingeloggt, der diese Installation als vertrauensw\u00fcrdig eingestuft hat.<br \/>\nMan kann aber auch das sogenannte <strong>StrictHostKeyChecking<\/strong> deaktivieren, indem man sich eine entsprechende Konfiguration in <em>~\/.ssh\/config<\/em> anlegt. Prinzipiell w\u00fcrde ich nie auf die Idee kommen dieses Sicherheitsfeature auszuhebeln, insbesondere dann nicht, wenn ich mich im Internet zu einem entfernten Rechner verbinde. Mein Laptop und der Core Duo stehen jedoch nur wenige Meter auseinander und werden dazu oft noch per Kabel verbunden. Von daher ist das Risiko eines Man-in-the-Middle-Angriffs \u00fcberschaubar.<\/p>\n<p>Meine L\u00f6sung sieht nun so aus:<br \/>\nIch habe die Datei <em>~\/.ssh\/config<\/em> mit folgendem Inhalt angelegt.<\/p>\n<pre>Host loki\n         StrictHostKeyChecking no\n         UserKnownHostFile \/dev\/null\n<\/pre>\n<p>Wenn ich nun <code>ssh loki<\/code> eingebe, wird SSH diesen speziellen Host weniger streng pr\u00fcfen und ich kann mich problemlos zum selben Rechner verbinden, selbst wenn sich das Betriebssystem ge\u00e4ndert hat.<br \/>\nAnstatt loki l\u00e4sst sich auch 192.168.1.207 schreiben und mit der Wildcard <strong>*<\/strong> sogar jeder Rechner von der strengen \u00dcberpr\u00fcfung ausnehmen, was ich aber nicht empfehlen kann.<br \/>\nEine weitere M\u00f6glichkeit bietet der Alias-Befehl.\u00a0 z.B.<\/p>\n<p><code>alias insecssh='ssh -o \"StrictHostKeyChecking=no\" -o \"UserKnownHostsFile=\/dev\/null\"<\/code><\/p>\n<p><code><\/code><br \/>\nMit <code>insecssh loki<\/code> k\u00f6nnte man sich danach auch ohne Anlegen einer config-Datei zum entfernten Rechner verbinden.<br \/>\nF\u00fcr die eigenen vier W\u00e4nde ist das erst einmal ausreichend. \ud83d\ude09<br \/>\n<strong>Changelog:<\/strong><br \/>\n01.09.2012 Alias insecssh der GRML-Konfiguration hinzugef\u00fcgt.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Auf meinem Intel-Core-Duo-Rechner benutze ich verschiedene Betriebssysteme und betreibe ein Multiboot-System. Das hilft mir dabei Aufgaben und Software zu trennen, die ich nicht alle gemeinsam unter einem System installieren m\u00f6chte. Regelm\u00e4\u00dfig kommt es jedoch vor, dass ich mich per SSH von einem Laptop zu diesem Rechner verbinde oder Daten per scp austausche. Als vertrauensw\u00fcrdiges Ziel &hellip; <\/p>\n<p class=\"link-more\"><a href=\"https:\/\/gambaru.de\/blog\/2012\/08\/01\/ssh-deaktivieren-von-stricthostkeychecking\/\" class=\"more-link\"><span class=\"screen-reader-text\">\u201eSSH: Deaktivieren von StrictHostKeyChecking\u201c<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[6],"tags":[53,178,184],"_links":{"self":[{"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/posts\/8875"}],"collection":[{"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/comments?post=8875"}],"version-history":[{"count":1,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/posts\/8875\/revisions"}],"predecessor-version":[{"id":10648,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/posts\/8875\/revisions\/10648"}],"wp:attachment":[{"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/media?parent=8875"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/categories?post=8875"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/tags?post=8875"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}