为什么在ssh_config中使用“ HashKnownHosts yes”？

我有一些服务器上的yes（是），另一些服务器上的no（今天我才发现此选项）。

HashKnownHosts no的优点是我可以更轻松地维护known_hosts文件。

使用HashKnownHosts yes的实际好处是什么？

known_hosts文件表示很小的安全风险。它包含您连接到的所有服务器的便捷列表。能够访问您的密码或未加密私钥的攻击者仅需要遍历该列表，直到您的凭据被接受为止。哈希解决了这个问题，或者至少混淆了列表。

使用明文known_hosts，攻击者将很容易知道您连接到哪些服务器。关于潜在的ssh蠕虫的一篇文章和麻省理工学院的一篇论文利用了可读性known_hosts。当然，通常还有其他但更麻烦的方法来确定攻击者可以使用的日常ssh登录信息，例如您的shell历史记录。

请注意，您仍然可以known_hosts使用ssh-keygen实用程序处理散列：

ssh-keygen -F myhost         # shows myhosts's line in the known_hosts file
ssh-keygen -l -F myhost      # additionally shows myhost's fingerprint
ssh-keygen -R myhost         # remove myhost's line from known_hosts

对于99％的用户真正需要访问的情况，这尤其是最后一个命令应该足够了known_hosts。当然，您将丢失ssh主机选项卡的完成。

另请注意，命令行选项ssh-keygen区分大小写

unix.SE 上还有一个相关问题。