AsyncSSH中ProxyJump与known_hosts控制的深度解析

背景介绍

在现代SSH客户端使用中，通过跳板机(ProxyJump)连接远程服务器是一种常见的安全实践。然而，在使用Python的asyncssh库时，开发者可能会遇到一个棘手问题：当主连接设置了known_hosts=None来跳过主机密钥验证时，ProxyJump建立的隧道连接却仍然强制执行密钥检查。

问题本质

这个问题的根源在于asyncssh库的内部实现机制。当使用ProxyJump功能时，库会先建立到跳板机的连接，然后再通过这个连接建立到目标主机的隧道。关键在于，跳板机连接的建立过程没有继承主连接的known_hosts设置，而是使用了默认的密钥验证行为。

技术细节分析

在asyncssh的connection.py文件中，_open_tunnel函数负责建立隧道连接。原始实现中，这个函数没有提供任何方式来控制known_hosts行为，导致即使用户在主连接中设置了known_hosts=None，隧道连接仍然会进行密钥验证。

解决方案演进

最初，开发者可以通过直接修改_open_tunnel函数的实现来解决问题，但这显然不是理想的长期方案。随后，asyncssh库的维护者提出了更优雅的解决方案：

1. 配置文件方案：在SSH配置文件中为跳板机添加UserKnownHostsFile none设置
2. 编程接口方案：分两步显式建立连接，先连接跳板机再连接目标主机

最终，asyncssh在2.18.0版本中正式添加了对UserKnownHostsFile none配置的支持，使得通过配置文件完全禁用特定主机的密钥验证成为可能。

安全考量

虽然禁用主机密钥验证可以解决连接问题，但这会降低安全性，使系统面临中间人攻击的风险。因此，在生产环境中，建议开发者：

1. 优先考虑将正确的主机密钥添加到known_hosts文件
2. 如果必须禁用验证，尽量限定在特定主机而非全局设置
3. 考虑使用更安全的替代方案，如证书认证

最佳实践建议

对于需要在asyncssh中使用ProxyJump并控制known_hosts行为的开发者，推荐以下实践：

1. 对于临时测试环境，可以使用UserKnownHostsFile none配置
2. 对于生产环境，建议预先收集所有跳板机和目标主机密钥
3. 考虑使用分步连接方式，为不同连接设置不同的安全参数
4. 保持asyncssh库更新到最新版本，以获取安全修复和功能改进

通过理解这些技术细节和安全考量，开发者可以更安全、更有效地在asyncssh中使用ProxyJump功能。