known_hosts-Datei nicht im Klartext speichern
In der known_hosts-Datei werden die Host-Informationen standardmässig im Klartext gespeichert:
# cat ~/.ssh/known_hosts tinderbox.chruetertee.ch ssh-dss AAAAB3Nz... gecko.chruetertee.ch ssh-rsa AAAAB3Nza...
Möchte man diese Host-Informationen als Hash speichern, kann die -H Option von ssh-keygen verwendet werden. Mit der -f Option wird die known_host-Datei angegeben:
# ssh-keygen -H -f ~/.ssh/known_host /home/test/.ssh/known_hosts updated. Original contents retained as /home/test/.ssh/known_hosts.old WARNING: /home/test/.ssh/known_hosts.old contains unhashed entries Delete this file to ensure privacy of hostnames # rm -P ~/.ssh/known_hosts.old # cat ~/.ssh/known_hosts |1|3mPb1LTGd6JcOEruhCeEwoKNcRw=|FK2w/R45eucQMPSamG0zL1J3X9c= ssh-dss AAAAB3Nz... |1|H3x4+97tRe1P86/VN2mKcS3VPig=|2qO9hySuF/yMByLWLdMEXgn9XYc= ssh-rsa AAAAB3Nz...
Neue Einträge werden weiterhin im Klartext gespeichert. Führt man danach ssh-keygen -H nochmals aus, werden nur die neuen Einträge geändert. Auf FreeBSD ist ssh-keygen standardmässig im Basissystem vorhanden. Mehr Informationen zu ssh-keygen findet man in der Manpage ssh-keygen(1).