对于需要与其他主机安全通信的每个主机,必须将服务器的公钥存储在本地主机的 /etc/ssh/ssh_known_hosts 文件中。虽然可使用脚本来更新 /etc/ssh/ssh_known_hosts 文件,但强烈建议不要使用这种做法,因为脚本会导致严重安全漏洞。
/etc/ssh/ssh_known_hosts 文件只能按如下方式通过安全机制分发:
通过安全连接,如安全 Shell、IPsec 或者来自已知可信计算机的基于 Kerberos 的 ftp
安装系统时
为了避免入侵者通过在 known_hosts 文件中插入伪造的公钥来获得访问权限的可能性,您应使用 ssh_known_hosts 文件的已知可信任源。可以在安装期间分发 ssh_known_hosts 文件。然后,可以使用采用了 scp 命令的脚本来复制最新版本。