Chaque hôte qui doit communiquer de manière sécurisée avec un autre hôte doit avoir la clé publique du serveur stockée dans le fichier /etc/ssh/ssh_known_hosts de l'hôte local. Bien qu'un script puisse être utilisé pour mettre à jour les fichiers /etc/ssh/ssh_known_hosts, une telle pratique est fortement déconseillée parce qu'un script crée une grande vulnérabilité de la sécurité.
Le fichier /etc/ssh/ssh_known_hosts doit uniquement être distribué par un mécanisme sécurisé comme suit :
Via une connexion sécurisée, comme par exemple le shell sécurisé, IPsec, ou ftp utilisant Kerberos à partir d'une machine connue et de confiance.
Au moment de l'installation
Pour éviter toute possibilité qu'un intrus obtienne l'accès en insérant de fausses clés publiques dans un fichier known_hosts, vous devez utiliser une source connue et de confiance du fichier ssh_known_hosts. Le fichier ssh_known_hosts peut être distribué au cours de l'installation. Plus tard, les scripts utilisant la commande scp peuvent être utilisés pour copier la version la plus récente.