Frage 102-168

Wenn Sie eine Verbindung zu einem entfernten SSH-Server aufbauen, schickt jener Ihrem Client seinen öffentlichen Schlüssel. Was damit dann passiert, hängt von der Einstellung der Direktive StrictHostKeyChecking ab.

Der Standardfall ist ask: Hat der Client diesen Schlüssel noch nie gesehen, fragt er Sie, ob er den Schlüssel akzeptieren soll. Falls ja, wird er in die Datei $HOME/.ssh/known_hosts eingetragen und in Zukunft ohne weitere Nachfrage akzeptiert, solange er sich nicht ändert. Das ist Antwort 3, aber wir reden ja über die Einstellung no. Antwort 3 ist also falsch.

Ist die Einstellung yes, wird geprüft, ob der Schlüssel bereits in $HOME/.ssh/known_hosts (oder dem systemweiten Pendant /etc/ssh/ssh_known_hosts) steht. Ist das nicht der Fall, wird die Verbindung sofort abgebrochen. Dies ist mehr oder weniger Antwort 1, aber auch diese Einstellung ist nicht gefragt. Antwort 1 ist also auch nicht richtig.

Die dritte Möglichkeit ist no, und das ist der Fokus dieser Frage. Im Falle von no akzeptiert der SSH-Server jeden neuen öffentlichen Rechnerschlüssel ohne weitere Nachfrage und trägt ihn in $HOME/.ssh/known_hosts ein (Antwort 2). Dass das eine sehr unsichere Einstellung ist, brauchen wir wohl nicht besonders hervorzuheben.

Antwort 4 fällt übrigens flach, weil die SSH keine Zertifizierungsstellen einsetzt.