SSH'deki “ana bilgisayarın özgünlüğü oluşturulamıyor” mesajı bir güvenlik riskini yansıtıyor mu?


19

Bilgisayarımdan yeni bir SSH sunucusuna her bağlandığımda şu mesajı alıyorum:

The authenticity of host '[censored]:censored ([0.0.0.0]:censored)' can't be established.
RSA key fingerprint is SHA256:censored.
Are you sure you want to continue connecting (yes/no)?

SSH neden bunu soruyor?

Rasgele bir SSH sunucusuna bağlanma riskim var mı?

Yoksa bu sadece bağlandığınız sunucunun saldırıya uğramadığından emin olmak için mi?


Giriş yapmak için bir şifre mi yoksa bir anahtar mı kullanıyorsunuz?
kasperd

1
Ana makine anahtarlarını dağıtmanın, ilk kullanımda güvenden daha iyi birkaç yolu vardır ; bu nispeten güvensiz bir iş akışıdır. Ana bilgisayar anahtarları LDAP aracılığıyla dağıtılabilir; imzalı DNS girişleri aracılığıyla; SSH sertifika yetkilileri ile imzalanabilir; vb söylemek Hangi - burada ne görüyoruz sitenizin "tembel yolu" (! hemen hemen tüm olan), yapılandırıldığını belirtir olduğu doğru şeyler yapmaya daha fazla çaba gidiş daha az güvenli.
Charles Duffy

Yanıtlar:


29

Size soruyor çünkü daha önce hiç bu sunucuya bağlı değil.

Güvenli bir ortamdaysanız, uzak ana bilgisayarın parmak izini tanıyacak ve ilk bağlantıda karşılaştıracaksınız - parmak izi, bildiğinizle eşleşiyorsa, o zaman harika. Daha az güvenli bir ortamdaysanız, bunu ilk bağlantıda kabul edebilirsiniz.

" Evet, bu ana makine anahtarına güveniyorum ve bu ana makine adı / IP ile ilişkilendirilmesini istiyorum " dedikten sonra, SSH istemcisi bunu sizin için hatırlayacak ... Herhangi bir nedenle (yeniden yükleme / yeni ana makine anahtarları / yeni anahtar makinesi ortasında / adam) gelmez bir sonraki bağlantıda maç, aşağıdaki gibi bir uyarı göreceksiniz:

$ ssh baloo
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
SHA256:Su0uy/4BcRcpmyLfxO9ndlcda52F8uct6yWNp7Sa92M.
Please contact your system administrator.
Add correct host key in /home/attie/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /home/attie/.ssh/known_hosts:65
  remove with:
  ssh-keygen -f "/home/attie/.ssh/known_hosts" -R baloo
ECDSA host key for baloo has changed and you have requested strict checking.
Host key verification failed.

Bu durumda, uzak ana bilgisayarın gerçekten değiştirildiğini biliyorsanız, devam edebilirsiniz ... muhtemelen parmak izinin doğru olduğunu doğrulama.

Emin değilseniz veya uzak ana bilgisayarın değişmemesi gerektiğini biliyorsanız, sizi olası bir saldırıya karşı ipucu olarak görür.


4
Bu TOFU ilkesidir: İlk Kullanımda Güven
Patrick Mevzek

2
Kabul ediyorum, TOFU harika bir fikir değil - özellikle emin olmanız gerekiyorsa ... Fikriniz ve yaklaşımınız iplik modelinize bağlı olacaktır.
Attie

1
Ancak, bunun etkinliği için bkz. Cs.auckland.ac.nz/~pgut001/pubs/defending.pdf , sayfa 45-48.
Joker_vD

İlginç slaytlar, paylaştığınız için teşekkürler @Joker_vD
Attie

1
@PatrickMevzek Sorun, tüm bilgisayar "güven" modelimizin temel olarak bir booleanın ayrıntısında olması, gerçek dünyada pratik bir güven modelinin (insanlararası ilişkilerde sezgisel olarak kullandığımız gibi) daha çok koşullu olasılık: Bir işletmenin talebi üzerine, işletmenin onu takip edeceğine dair bir dereceye kadar güven duyuyoruz ve riske maruziyetimizi bununla orantılı olarak sınırlandırıyoruz.
mtraceur

9

Bu mesajı aldığınızda SSH basitçe "Bu bilgisayarı daha önce hiç görmedim, bu yüzden söylediği kişi olduğundan emin olamıyorum. Buna güveniyor musunuz?" Hangi noktada ona güvendiğinizi söyleyebilirsiniz ve gelecekte bilgisayarınız hatırlar ve size tekrar sormaz.

İdeal olarak ona güvenmek için sağlanan anahtarı sunucudaki anahtarla manuel olarak karşılaştırmalısınız (ait olduğuna inandığınız kişinin gerçekten ortak anahtarı oluşturabildiğini kontrol ederek bir GPG anahtarına güveneceğiniz gibi). Gerçekte insanlar bununla uğraşmasa da (en azından bilgimden).

Asıl fayda, sunucuya her bağlandığınızda gelir. SSH, zaten aynı sunucu olmadığına güvendiğiniz sunucudan şikayet ederse, bir MiTM saldırısının kurbanı olma şansınız vardır.

Her şeyden önce, ortada Adam saldırısı olmadığından emin olduğunuz bir ağ üzerindeyseniz ve bu bilgisayara ilk kez bağlandığınızda anahtarı kabul etmeniz güvenli olmalıdır. (bazı gizli hükümet görevleri üzerinde çalışıyorsanız, belki de sistem yöneticinizden bağlanmadan önce parmak izini doğrulamasını isteyin)

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.