JSch Sicherheit mit SFTP-Sitzung.setConfig("StrictHostKeyChecking", "Nein");

Ich benutze JSch mit privaten Schlüssel, um FTP-Datei

  1. jsch.addIdentity(privatekeyfile);
  2. Session session = jsch.getSession( "user", "domain.com" ,22);
  3. Sitzung.setConfig("StrictHostKeyChecking", "Nein");

Linie 3 in Frage. Ohne diese Zeile, JSch funktioniert nicht.

Meine Frage ist:
Wird die Linie 3 stellen Sie den SFTP-transfer unsicher?

InformationsquelleAutor Tony | 2015-05-11
  1. 8

    Deaktivieren der StrictHostKeyChecking option wird die Verbindung weniger sicher, als wenn die option aktiviert ist, weil es wird lassen Sie Sie eine Verbindung zu remote-Servern, ohne zu überprüfen, ob Ihre SSH-host-Schlüssel. Wenn die option aktiviert ist, werden Sie nur in der Lage, verbindungen zu Servern, die keys sind bekannt für Ihre SSH-client.

    Haben, müssen Sie entscheiden, was, dass bedeutet für Ihren konkreten Anwendungsfall sind die Server, die Sie verbinden, auf einem privaten, lokalen Netzwerk oder machen Sie eine Verbindung über das internet? Ist das ein Test-oder Produktionsumgebung?

    Wenn Sie Zweifel haben, ist es besser, sich zu irren auf der Seite der Sicherheit. Ich würde empfehlen die Aktivierung StricktHostKeyChecking und mit der setKnownHosts Methode, um eine Datei, die enthält die remote-host-Schlüssel.

    • Dank krautmeyer und Martin. setKnownHosts braucht eine Datei. Wo ist die Datei? Ich FTP auf einem AWS EC2 Linux Instanz. Ich habe meine privatekeyfile, wenn ich die Instanz erstellt. Aber was in Methode setKnownHosts? Danke!
    • Die Datei muss verfügbar sein, auf dem client läuft Ihr Programm. Wenn Sie Zugriff auf eine Linux-Maschine Sie können die Generierung der Datei selbst: ssh-keyscan -t rsa hostname > known_hosts Hostname wäre der Ziel-server Sie sich verbinden möchten, in diesem Fall. Dann übergeben Sie einfach die Datei auf die setKnownHosts Methode.
    • Danke.Ich loggte mich in Linux und diese lief: ssh-keyscan -t rsa abc.com > /home/known_hosts. Eine Datei known_hosts erstellt wird, in der Heimat, die aber leer ist. abc.com ist die domain die ich verwenden, um FTP auf diesen server. Danke.
    • Probieren Sie es einfach laufen ssh-keyscan -t rsa abc.com und poste die Ausgabe.
    • $ ssh-keyscan -t rsa abc.com Ausgänge nichts. Es zu beenden und kommen zurück, um Befehl-Linie. $ ssh-keyscan -t rsa abc.com $
    • Sind Sie in der Lage, eine Verbindung zu dem remote-server von der linux-Maschine? Was bedeutet ssh [email protected] Ausgang? (Ersetzen Sie einen gültigen Benutzernamen)
    • Wenn ich das ändern abc.com zu einem fake-Namen wie abcxxx.com, dann wird der Befehl wieder mit einer Nachricht: getaddrinfo abcxxx.com: Name or service not known
    • Ich versuche auf FTP-von meinem windows-PC zu Linux. Ich habe die private key-Datei auf meinem PC. JSch ist auch auf meinem PC.
    • So der Linux-Maschine aus, die Sie verwenden, ist die AWS-server? In diesem Fall versuchen ssh-keyscan -t rsa localhost und sehen, ob der produziert nichts.
    • ssh-keyscan -t rsa localhost produziert etwas: # localhost SSH-2.0-OpenSSH_6.2 localhost ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDfkfofn+oakKAvx2meT90jom1oRdBevPFP/2A+tN4+
    • In diesem Fall, Ihrer known_hosts-Datei sollte die folgende Zeile enthalten: abc.com ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDfkfoFN+oakKAvx2meT90jom1oRdBevPFP/2A+tN4+
    • OK, lassen Sie mich versuchen.
    • JA! Jetzt JSch FTPed Datei von AWS-Linux ohne session.setConfig("StrictHostKeyChecking", "no"). Ich hoffe das ist wirklich secure FTP! Vielen Dank!

    InformationsquelleAutor Ben Damer
  2. 3

    Ja, es wird die Verbindung (und die übertragung) weniger sicher. Vor allem, macht es die Verbindung offen zu Man-in-the-middle-Angriffe.

    Sollten Sie nie die StrictHostKeyChecking zu no, es sei denn, Sie kümmern sich nicht um Sicherheit (wie bei der Verbindung in ein privates Netzwerk).

    Es ist nicht wahr, dass "Ohne diese Zeile, JSch funktioniert nicht". Sie müssen nur, um Ihren code zu akzeptieren, die erwarteten server host Schlüssel. Entweder über die setKnownHosts oder die setHostKeyRepository Methoden.

    Beispiele finden Sie Wie zu beheben Java UnknownHostKey, während mit JSch SFTP-Bibliothek?

    Können Sie Lesen meine Artikel auf überprüfen der host-Schlüssel zu verstehen, seine Bedeutung. Es ist über WinSCP SSH - /SFTP-client, aber es ist in der Regel gilt für jeden anderen SSH-client zu/library.

    InformationsquelleAutor Martin Prikryl
Schreibe einen Kommentar