rigacci.org

User Tools

Site Tools

Trace: SSH known_hosts
doc:appunti:linux:sa:ssh_known_hosts

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
doc:appunti:linux:sa:ssh_known_hosts [2026/02/06 07:54] niccolodoc:appunti:linux:sa:ssh_known_hosts [2026/02/06 08:22] (current) – [Formato del file known_hosts] niccolo
Line 1: Line 1:
 ====== SSH known_hosts ====== ====== SSH known_hosts ======
  
-Con una Debian 12 Bookworm o successive può capitare di avere delle righe in **.ssh/known_hosts** che vengono ritenute non più valide, il problema si presenta ad esempio quando si cerca di rimuovere una entry con il comando **%%ssh-keygen -R%%**:+Con una **Debian 13 Trixie** può capitare di avere delle righe in **.ssh/known_hosts** che vengono ritenute non più valide, il problema si presenta ad esempio quando si cerca di rimuovere una entry con il comando **%%ssh-keygen -R%%**:
  
 <code> <code>
Line 26: Line 26:
 Il supporto alle chiavi **ssh-dss** è stato rimosso a runtime con **OpenSSH 7.0** (agosto 2015), quindi rimosso in fase di compilazione con **OpenSSH 9.8 (**2024) e rimosso definitivamente con **OpenSSH 10.0** (inizio 2025). Il supporto alle chiavi **ssh-dss** è stato rimosso a runtime con **OpenSSH 7.0** (agosto 2015), quindi rimosso in fase di compilazione con **OpenSSH 9.8 (**2024) e rimosso definitivamente con **OpenSSH 10.0** (inizio 2025).
  
 +Se il problema occorre su una Debian 12 Bookworm (OpenSSH 9.2) dovrebbe quindi ancora essere possibile supportare le chiavi ssh-dss aggiungendo in **.ssh/config** la seguente riga:
 +
 +<file>
 +PubkeyAcceptedKeyTypes=+ssh-dss
 +</file>
 +
 +Con debian 13 Trixie (OpenSSH 10.0) è invece consigliabile rimuovere del tutto tali righe che non sarebbero comunque più utilizzabili.
 +
 +===== Formato del file known_hosts =====
 +
 +Il formato del file **.ssh/known_hosts** è documentato in **%%man sshd%%**. Ogni riga contiene campi separati da spazi, il primo è il nome dell'host in formato hashed, quindi non è possibile conoscere il suo contenuto in chiaro.
 +
 +È tuttavia possibile fare una ricerca sul file known_hosts indicando il nome dell'host in chiaro, viene mostrata la riga che corrisponde:
 +
 +<code>
 +ssh-keygen -H -F servername
 +# Host servername found: line 697 
 +|1|z4sz31Qvp0GlXlCt1nIAPtrymdQ=|XnJIMUA/Dajlw9+gb36XCRv6m14= ecdsa-sha2-nistp256 AA...
 +</code>
 +
 +**ATTENZIONE**: Riferendosi allo stesso host ma con nomi diversi (nome non qualificato, nome completo a dominio, indirizzo IPv4, indirizzo IPv6, ecc.) le righe in known_hosts sono diverse, ma contengono la stessa chiave.
 +
 +Un host con **sshd** può avere più di una chiave pubblica, il client ne sceglie una e la memorizza nel proprio .ssh/known_hosts, di solito scegliendo quella più sicura che è in grado di supportare.
 +
 +Per elencare le chiavi di un sshd remoto si usa il comando:
 +
 +<code>
 +ssh-keyscan servername
 +</code>
  
doc/appunti/linux/sa/ssh_known_hosts.1770360879.txt.gz · Last modified: by niccolo