维护 Solaris 安全 Shell 中的已知主机
需要与其他主机安全通信的每台主机都必须将服务器的公钥存储在本地主机的 /etc/ssh/ssh_known_hosts 文件中。虽然脚本可用于更新 /etc/ssh/ssh_known_hosts 文件,但是强烈建议不要这样做,因为脚本会打开严重的安全漏洞。
/etc/ssh/ssh_known_hosts 文件应只按如下安全机制分发:
-
通过安全连接,如 Solaris 安全 Shell、IPsec 或已知和受信任计算机的基于 Kerberos 的 ftp
-
在系统安装时
要避免入侵者通过向 known_hosts 文件插入伪造公钥而获得访问权限的可能性,应使用 JumpStartTM 服务器作为 ssh_known_hosts 文件的已知和受信任源。ssh_known_hosts 文件可在安装过程中分发。然后,可将使用 scp 命令的脚本用于引入最新版本。由于每台主机都已具有 JumpStart 服务器的公钥,因此此方法是安全的。
- © 2010, Oracle Corporation and/or its affiliates