Всякий раз, когда я подключаюсь к новому серверу SSH со своего компьютера, я получаю это сообщение:
The authenticity of host '[censored]:censored ([0.0.0.0]:censored)' can't be established.
RSA key fingerprint is SHA256:censored.
Are you sure you want to continue connecting (yes/no)?
Почему SSH спрашивает меня об этом?
Есть ли у меня риск подключения к произвольному SSH-серверу?
Или это просто для того, чтобы убедиться, что сервер, к которому вы подключаетесь, не был взломан?
ssh
internet-security
Чарльз Даффи
источник
источник
Ответы:
Он спрашивает вас, потому что он никогда не был связан с этим хостом раньше.
Если вы находитесь в защищенной среде, то вы узнаете отпечаток удаленного хоста и сравните его при первом подключении - если отпечаток совпадает с тем, который, как вы знаете, должен быть, то отлично. Если вы находитесь в менее защищенной среде, вы можете просто принять ее при первом подключении.
Как только вы сказали « Да, я доверяю этому ключу хоста и хочу, чтобы он был связан с этим именем хоста / IP », SSH-клиент запомнит это для вас ... Если по какой-либо причине (переустановите / новые ключи хоста / new машина / человек посередине) ключ не совпадает при последующем соединении, вы увидите предупреждение, как показано ниже:
В этой ситуации, если вы знаете, что удаленный хост действительно был изменен, вы можете продолжить ... возможно, проверка правильности отпечатка пальца.
Если вы не уверены или знаете, что удаленный хост не должен был измениться, он подскажет вам потенциальную атаку.
источник
Когда вы получаете это сообщение, SSH просто говорит: «Я никогда не видел этот компьютер раньше, поэтому я не могу быть уверен, что это тот, кто это говорит. Вы доверяете ему?» В этот момент вы можете сказать, что доверяете ему, и в будущем ваш компьютер будет помнить и больше не спрашивать вас.
В идеале, чтобы доверять ему, вы должны вручную сравнить ключ, предоставленный с ключом на сервере (как если бы вы доверяли ключу GPG, проверив, действительно ли тот, кому он принадлежит, действительно может сгенерировать открытый ключ). Хотя на самом деле люди не беспокоятся об этом (по крайней мере, насколько мне известно).
Настоящая выгода приходит с каждым последующим подключением к серверу. Если SSH жалуется на то, что сервер, которому вы уже доверяли, не является тем же сервером, то есть вероятность, что вы стали жертвой атаки MiTM.
В общем, если вы находитесь в сети, в которой вы уверены, что атака «Человек в середине» не происходит, и вы подключаетесь к компьютеру впервые, тогда вы должны принять ключ. (хотя, если вы работаете в какой-то сверхсекретной правительственной миссии, возможно, попросите системного администратора проверить отпечаток пальца перед подключением)
источник