Что означает это сообщение? Это потенциальная проблема? Канал не защищен?
Или это просто сообщение по умолчанию, которое всегда отображается при подключении к новому серверу?
Я привык видеть это сообщение при использовании SSH в прошлом: я всегда вводил свой логин с паролем обычным способом, и я чувствовал себя хорошо, потому что я не использовал закрытые / открытые ключи (что гораздо более безопасно чем короткий пароль). Но на этот раз я установил открытый ключ с ssh для подключения к bitbucket, но я все еще получил сообщение. Мне известно, что запрос пароля в конце является другой дополнительной мерой безопасности для расшифровки закрытого ключа.
Я надеюсь, что кто-нибудь может дать хорошее объяснение тому, что подразумевается под этим сообщением «подлинность не может быть установлена».
The authenticity of host 'bitbucket.org (207.223.240.181)' can't be established.
RSA key fingerprint is 97:8c:1b:f2:6f:14:6b:5c:3b:ec:aa:46:46:74:7c:40.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'bitbucket.org,207.223.240.181' (RSA) to the list of
known hosts.
Enter passphrase for key '/c/Users/Steven/.ssh/id_rsa':
источник
ssh
что нет никакой возможности сказать, что вы действительно разговариваетеbitbucket.org
. Если вы настроили какой-то способ, чтобы он знал, то это не работает. Если вы этого не сделали, то это говорит вам, что вы этого не сделали.Ответы:
Он говорит вам, что вы никогда не подключались к этому серверу раньше. Если вы ожидали этого, это совершенно нормально. Если вы параноик, проверьте контрольную сумму / отпечаток пальца ключа, используя альтернативный канал. (Но учтите, что тот, кто может перенаправить ваше ssh-соединение, также может перенаправить сеанс веб-браузера.)
Если вы ранее подключались к этому серверу после этой установки ssh, то либо сервер был перенастроен с новым ключом, либо кто-то подделывает идентификацию сервера. Из-за серьезности атаки «человек посередине» она предупреждает вас о возможности.
В любом случае, у вас есть безопасный зашифрованный канал для кого-то . Никто без закрытого ключа, соответствующего отпечатку пальца, не
97:8c:1b:f2:6f:14:6b:5c:3b:ec:aa:46:46:74:7c:40
сможет расшифровать то, что вы отправляете.Ключ, который вы используете для аутентификации, не имеет отношения ... вы не захотите отправлять аутентификационную информацию на мошеннический сервер, который может ее украсть, и поэтому вам не следует ожидать каких-либо изменений в зависимости от того, собираетесь ли вы использовать кодовую фразу или закрытый ключ для входа. Вы просто еще не зашли так далеко в процессе.
источник
Допустим, вы встретили кого-то, чтобы обменяться секретами бизнеса. Ваш консультант говорит вам, что вы никогда не встречали этого человека раньше, и что он может быть самозванцем. Более того, на следующих встречах с ним ваш советник больше не будет вас предупреждать. Вот что означает сообщение. Этот человек является удаленным сервером, а ваш консультант - клиентом ssh.
Я не думаю, что параноидально перепроверять личность человека, прежде чем делиться с ней секретами. Например, вы можете открыть веб-страницу с ее изображением и сравнить ее с лицом перед вами. Или проверьте ее удостоверение личности.
Для сервера bitbucket вы можете использовать другой, более надежный компьютер, получить на нем изображение его лица , а затем сравнить его с тем, который вы получаете на компьютере, который вы сейчас используете. Использование:
Если лица совпадают, вы можете добавить ключ в файл, например
~/.ssh/known_hosts
(стандартное расположение во многих дистрибутивах Linux) с помощью:и клиент ssh не предупредит вас, поскольку он уже знает ее лицо . Он будет сравнивать лица каждый раз, когда вы подключаетесь. Это очень важно. В случае самозванца (например, атака «человек посередине») клиент ssh отклонит соединение, потому что лицо изменится.
источник
ssh-keyscan -t rsa -H bitbucket.org >> ~/.ssh/known_hosts
Спасибо, Иван!known_hosts
ее, просто введя «да» к исходному предупреждению, как уже показано в вопросе) и опасную (ключ, который вы добавили к своему файл не обязательно тот, на который вы смотрели, потому что вы загрузили его дважды!)?Я просто должен был создать
known_hosts
текстовый файл в~/.ssh
После этого он добавил хост, и я больше никогда не видел сообщения.
источник
known_hosts
файл (с правильными разрешениями), он не мешает спрашивать вас о подлинности нового сервера ... Если вы каким-то образом уже не получили подпись ключа pub для этого сервера и не поместили его в свой файлknown_hosts
, что является единственным нормальным способом пропустить проверку (хотя просто сказать «да» проверке часто быстрее, чтобы достичь того же)Есть еще один простой способ. Просто дотроньтесь до файла «config» в /root/.ssh и добавьте параметр StrictHostKeyChecking no. В следующий раз, когда вы войдете на сервер, ключ rsa будет добавлен к known_hosts и не будет спрашивать «да». для подтверждения подлинности
источник
Это сообщение является всего лишь SSH, сообщающим вам, что он никогда не видел этот конкретный ключ хоста, поэтому он не может по-настоящему проверить, что вы подключаетесь к хосту, который, как вы думаете, вы используете. Когда вы говорите «Да», он помещает ключ ssh в ваш файл known_hosts, а затем при последующих подключениях сравнивает ключ, который он получает от хоста, с ключом в файле known_hosts.
Была опубликована соответствующая статья о переполнении стека, показывающая, как отключить это предупреждение, https://stackoverflow.com/questions/3663895/ssh-the-authenticity-of-host-hostname-cant-be-established .
источник
Помимо ответов, которые уже даны (ранее вы никогда не подключались к этому хосту), существует также явная вероятность того, что вы никогда ранее не подключались к текущему хосту (к этому хосту); это только психологически отличается; вы думаете, что подключаетесь с хоста A (к B), в то время как на самом деле вы пытаетесь подключиться с хоста X (к B). Это может произойти, например, когда вы сначала ssh-ed от A до X, а затем с того же терминала пытаетесь ssh-B, думая, что вы все еще на A.
источник
ssh
) и терминальные приложения поддерживают переадресацию агентов, это помогает Сократите количество ключей SSH, которыми вы должны управлять только для ваших конечных устройств.В моем случае пароль без логина не работал из-за разрешений моего домашнего каталога, потому что я изменил настройки по умолчанию. Наконец, вот что сработало для меня. мой домашний каталог разрешений
/ Главная / имя пользователя
/home/username/.ssh
/home/username/.ssh/authorized_keys
источник