ssh_configで「HashKnownHosts yes」を使用する必要があるのはなぜですか？

はいのサーバーと、ここのないサーバーがあります（今日このオプションを発見しただけです）。

HashKnownHostsの利点は、known_hostsファイルをより簡単に保守できることです。

HashKnownHosts yesを使用することの事実上の利点は何ですか？

known_hostsファイルは、小さなセキュリティリスクを表しています。接続するすべてのサーバーの便利なリストが含まれています。パスワードまたは暗号化されていない秘密キーへのアクセスを取得した攻撃者は、資格情報が受け入れられるまでリストを繰り返す必要があります。ハッシュはこれを解決するか、少なくともリストを難読化します。

cleartextを使用するとknown_hosts、攻撃者は接続先のサーバーを簡単に知ることができます。ある記事やMIT紙読めるの潜在的なsshのワームを作るの使用についてはknown_hosts。もちろん、通常、シェルの履歴など、攻撃者が使用する可能性のある毎日のsshログインを決定するための、さらに面倒な方法が他にもあります。

ユーティリティプログラムknown_hostsを使用して、ハッシュを操作することができますssh-keygen。

ssh-keygen -F myhost         # shows myhosts's line in the known_hosts file
ssh-keygen -l -F myhost      # additionally shows myhost's fingerprint
ssh-keygen -R myhost         # remove myhost's line from known_hosts

これ、特に最後のコマンドは、ユーザーが本当にアクセスする必要がある99％のケースに十分なはずですknown_hosts。もちろん、sshホストタブの補完は失われます。

また、コマンドラインオプションでssh-keygenは大文字と小文字が区別されることに注意してください

unix.SEにも関連する質問があります。