Перейти к содержанию

JP1027C

Использование библиотеки paramiko для SSH-соединений без проверки ключа

Static Badge Static Badge


Библиотека paramiko по умолчанию верифицирует ключ hostkey сервера. Использование AutoAddPolicy или WarningPolicy позволяет добавлять ключ сервера без верификации и открывает возможность для MITM атак с умышленной подменой доверенного хоста.

Пример небезопасного использования

1
2
3
4
5
6
import paramiko

client = paramiko.SSHClient()
client.load_system_host_keys()
client.set_missing_host_key_policy(paramiko.AutoAddPolicy())
client.set_missing_host_key_policy(paramiko.WarningPolicy)

Дополнительная информация