A veces, cuando me conecto a través de SSH a un servidor que no está en mi archivo de hosts conocido, ssh me muestra el mensaje:
No se puede establecer la autenticidad del host '[dominio] ([dirección_ip])'.
La huella digital de la clave RSA es [huella digital].
¿Estás seguro de que quieres continuar conectándote (sí/no)?
Si selecciono "sí", aparece el mensaje:
Advertencia: Se agregó permanentemente '[dominio]' (RSA) a la lista de hosts conocidos.
Pero para algunos otros servidores (por ejemplo, github.com) no se me solicita que continúe y en su lugarinmediatamenteRecibe el siguiente mensaje, que está redactado de forma ligeramente diferente:
Advertencia: Se agregó permanentemente la clave de host RSA para la dirección IP '[ip_address]' a la lista de hosts conocidos.
¿Qué causa esta diferencia de comportamiento? Y lo más importante, cuando estoynoCuando se me pregunta, ¿tengo que verificar manualmente la clave que se agregó al archivoknown_hosts antes de continuar trabajando con el servidor?
En ambos casos me autentico mediante clave pública. Estoy ejecutando OS X 10.10.3, usando OpenSSH instalado en el sistema.
Respuesta1
Esto probablemente se debe al hecho de que estos sitios tienen su huella digital ssh almacenada en DNS, por lo que ya no molestan a los usuarios con la verificación de la clave.
La característica se llama registro SSHFP. Puedes verificar esto usandossh-keygen -r github.com
Respuesta2
Resulta que solo soy un idiota.
Mientras que,como afirma Jakuje, SSHFP permite que los sitios almacenen su huella digital de clave pública en sus registros DNS, en este caso la claveeraya en el archivo de hosts conocidos, bajo el nombre de dominio (que descubrí agregando el -v
indicador de depuración a mi ssh
comando).
Como explica el mensaje informativo que recibí, se estaba agregando una nueva línea al archivo.para la dirección IP que se utiliza.