Quote

Im Prinzip ein sehr guter Ansatz, aber leider akzeptieren die Server keine ssh-Verbindungen mit Passwort. In der sshd_config ist

Die Hostkeys haben doch nichts mit der User-Anmeldung zu tun.
Die Anmeldung des Benutzer erfolgt entweder mit seinem User/Passwort-Paar oder eben über seine persönlichen SSH-Keys, die wiederum nichts mit den Hostkeys zu tun haben.
Die Hostkeys dienen dazu, den Rechner, zu dem man sich verbindet, eindeutig zu identifizieren.

Ansonsten habe ich wohl gekonnt ignoriert, dass es hier um putty auf Windows geht, und nicht um einen OpenSSH auf Linux. Und ich war mir dieses Unterschiedes in Bezug auf die Hostkeys nicht im klaren. Sorry.

Hier noch mal ein paar (wirre) Gedanken zum Thema:

Die Argumentation auf http://www.chiark.greenend.org.uk/~sgtatham/putty/... finde ich OK und die Weigerung finde nachvollziehbar, das Sicherheitsfeature host_keys abzuschalten.

Vielleicht ließe sich ein Workaround schaffen?

- Mit einem Skript auf Linux grast man alle Hosts ab und lässt mit der gezeigten Option alle unbekannten Keys direkt in die known_hosts eintragen. [1]
- Mit dem Skript der putty-Entwickler konvertiert man diese known_hosts dann ins Windows-Registry-Format...

Wie oft ändern sich denn die Host-keys, bzw. wie oft kommen denn neue Hosts hinzu?
Und wenn welche kommen, wie viele sind das denn?

Wenn es nur sporadisch eine kleine Menge von Hosts ist, könnte man sie auch selber per Hand mit putty ansprechen und die Host-Keys akzeptieren. [1]


Vielleicht lässt sich auch die Registry auslesen, welche Hosts bereits mit Hostkey bekannt sind?
Dann könnte man verhindern, dass neue Systeme angesprochen werden und damit das Skript blockieren.
Stattdessen könnte man jemanden alarmieren, dass da für die gefundenen neue Systeme bitte die Hostkeys zu speichern sind.


[1] Einen Login muss man ja noch nicht mal tun; die Hostkey-Abfrage erfolgt ja bereits vorher.