ข้อความ“ ความถูกต้องของโฮสต์ไม่สามารถสร้างได้” ใน SSH แสดงถึงความเสี่ยงด้านความปลอดภัยหรือไม่?


19

เมื่อใดก็ตามที่ฉันเชื่อมต่อกับเซิร์ฟเวอร์ SSH ใหม่จากคอมพิวเตอร์ของฉันฉันได้รับข้อความนี้:

The authenticity of host '[censored]:censored ([0.0.0.0]:censored)' can't be established.
RSA key fingerprint is SHA256:censored.
Are you sure you want to continue connecting (yes/no)?

ทำไม SSH ถึงถามฉัน

ฉันมีความเสี่ยงในการเชื่อมต่อกับเซิร์ฟเวอร์ SSH แบบสุ่มหรือไม่?

หรือนี่เป็นเพียงเพื่อให้แน่ใจว่าเซิร์ฟเวอร์ที่คุณกำลังเชื่อมต่อยังไม่ถูกแฮ็ก


คุณใช้รหัสผ่านหรือกุญแจในการเข้าสู่ระบบหรือไม่?
kasperd

1
มีหลายวิธีที่ดีกว่าในการแจกจ่ายคีย์โฮสต์มากกว่าความน่าเชื่อถือในการใช้ครั้งแรก นี่เป็นขั้นตอนการทำงานที่ไม่ปลอดภัย รหัสโฮสต์สามารถแจกจ่ายผ่าน LDAP ได้ ผ่านรายการ DNS ที่ลงชื่อแล้ว สามารถลงนามกับหน่วยงานออกใบรับรอง SSH ฯลฯ ที่จะกล่าว - สิ่งที่คุณเห็นที่นี่แสดงให้เห็นว่าเว็บไซต์ของคุณมีการกำหนดค่า "วิธีขี้เกียจ" (ซึ่งเกือบทั้งหมดเป็น!) ซึ่งมีความปลอดภัยน้อยกว่าไปอีกต่อไปเพื่อทำสิ่งที่ถูกต้อง
Charles Duffy

คำตอบ:


29

มันถามคุณเพราะไม่เคยเชื่อมต่อกับโฮสต์นี้มาก่อน

หากคุณอยู่ในสภาพแวดล้อมที่ปลอดภัยคุณจะรู้ว่ามีลายนิ้วมือของโฮสต์ระยะไกลและจะทำการเปรียบเทียบกับการเชื่อมต่อครั้งแรกหากลายนิ้วมือตรงกับสิ่งที่คุณรู้ว่าควรจะเป็น หากคุณอยู่ในสภาพแวดล้อมที่ปลอดภัยน้อยกว่าคุณสามารถยอมรับได้ในการเชื่อมต่อครั้งแรก

เมื่อคุณพูดว่า " ใช่ฉันเชื่อถือคีย์โฮสต์นั้นและต้องการให้มันเชื่อมโยงกับชื่อโฮสต์ / IP นั้น " ไคลเอ็นต์ SSH จะจดจำสิ่งนี้ให้คุณ ... ถ้าด้วยเหตุผลใดก็ตาม (ติดตั้งใหม่ / คีย์โฮสต์ใหม่ / ใหม่ เครื่อง / ชายตรงกลาง) กุญแจไม่ตรงกับการเชื่อมต่อที่ตามมาคุณจะเห็นคำเตือนดังต่อไปนี้:

$ ssh baloo
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
SHA256:Su0uy/4BcRcpmyLfxO9ndlcda52F8uct6yWNp7Sa92M.
Please contact your system administrator.
Add correct host key in /home/attie/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /home/attie/.ssh/known_hosts:65
  remove with:
  ssh-keygen -f "/home/attie/.ssh/known_hosts" -R baloo
ECDSA host key for baloo has changed and you have requested strict checking.
Host key verification failed.

ในสถานการณ์นี้หากคุณรู้ว่าโฮสต์ระยะไกลมีการเปลี่ยนแปลงแน่นอนคุณสามารถดำเนินการต่อไป ... อาจเป็นการตรวจสอบว่าลายนิ้วมือถูกต้อง

หากคุณไม่แน่ใจหรือรู้ว่ารีโมตโฮสต์ไม่ควรเปลี่ยนจากนั้นจะแจ้งให้คุณทราบถึงการโจมตีที่อาจเกิดขึ้น


4
นี่คือหลักการของ TOFU: เชื่อใจในการใช้ครั้งแรก
Patrick Mevzek

2
ตกลง TOFU ไม่ใช่ความคิดที่ดี - โดยเฉพาะถ้าคุณต้องแน่ใจ ... ความคิดเห็นและวิธีการของคุณจะ (ควร) ขึ้นอยู่กับแบบจำลองเธรดของคุณ
Attie

1
อย่างไรก็ตามเพื่อประสิทธิภาพของสิ่งนี้โปรดดูcs.auckland.ac.nz/~pgut001/pubs/defending.pdfหน้า 45-48
Joker_vD

สไลด์ที่น่าสนใจขอขอบคุณสำหรับการแบ่งปัน @Joker_vD
Attie

1
@PatrickMevzek ปัญหาคือว่าคอมพิวเตอร์ของเราทั้งหมด "ความไว้วางใจ" เป็นพื้นฐานที่ granularity ของบูลีนในขณะที่ในโลกแห่งความจริงรูปแบบของความไว้วางใจ (เช่นสิ่งที่เราใช้สัญชาตญาณในความสัมพันธ์ระหว่างมนุษย์) เป็นเหมือน ความน่าจะเป็นตามเงื่อนไข: เมื่อได้รับการเรียกร้องจากนิติบุคคลเรามีความมั่นใจในระดับหนึ่งว่ากิจการจะปฏิบัติตามและเราจำกัดความเสี่ยงที่จะเกิดขึ้นตามสัดส่วน
mtraceur

9

เมื่อคุณได้รับข้อความนี้ SSH กำลังพูดว่า "ฉันไม่เคยเห็นคอมพิวเตอร์เครื่องนี้มาก่อนเลยดังนั้นฉันไม่แน่ใจว่าเป็นคนที่บอกว่าเป็นใครคุณเชื่อใจหรือไม่" ณ จุดนี้คุณสามารถพูดได้ว่าคุณเชื่อถือและในอนาคตคอมพิวเตอร์ของคุณจะจดจำและไม่ถามคุณอีก

คุณควรจะเปรียบเทียบคีย์ที่ให้มาพร้อมกับคีย์บนเซิร์ฟเวอร์ด้วยตนเอง (เช่นเดียวกับที่คุณเชื่อถือคีย์ GPG โดยการตรวจสอบว่าบุคคลที่คุณเชื่อว่าเป็นของจริงสามารถสร้างคีย์สาธารณะ) แม้ว่าในความเป็นจริงผู้คนไม่ได้ใส่ใจกับสิ่งนี้ (อย่างน้อยก็จากความรู้ของฉัน)

ประโยชน์ที่แท้จริงมาจากทุกครั้งที่คุณเชื่อมต่อกับเซิร์ฟเวอร์ หาก SSH บ่นเกี่ยวกับเซิร์ฟเวอร์ที่คุณไว้วางใจแล้วว่าไม่ใช่เซิร์ฟเวอร์เดียวกันนั่นหมายความว่าคุณมีโอกาสที่จะตกเป็นเหยื่อของการโจมตี MiTM

เหนือสิ่งอื่นใดถ้าคุณอยู่ในเครือข่ายที่คุณมั่นใจว่าไม่มี Man in The Middle attack เกิดขึ้นและนี่เป็นครั้งแรกที่คุณเชื่อมต่อกับคอมพิวเตอร์คุณควรจะปลอดภัยที่จะรับกุญแจ (แม้ว่าถ้าคุณกำลังทำงานในภารกิจลับสุดยอดของรัฐบาลอยู่แล้วอาจขอให้ผู้ดูแลระบบของคุณยืนยันลายนิ้วมือก่อนทำการเชื่อมต่อ)

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.