ข้อความ“ ความถูกต้องของโฮสต์ไม่สามารถสร้างได้” ใน SSH แสดงถึงความเสี่ยงด้านความปลอดภัยหรือไม่?

เมื่อใดก็ตามที่ฉันเชื่อมต่อกับเซิร์ฟเวอร์ SSH ใหม่จากคอมพิวเตอร์ของฉันฉันได้รับข้อความนี้:

The authenticity of host '[censored]:censored ([0.0.0.0]:censored)' can't be established.
RSA key fingerprint is SHA256:censored.
Are you sure you want to continue connecting (yes/no)?

ทำไม SSH ถึงถามฉัน

ฉันมีความเสี่ยงในการเชื่อมต่อกับเซิร์ฟเวอร์ SSH แบบสุ่มหรือไม่?

หรือนี่เป็นเพียงเพื่อให้แน่ใจว่าเซิร์ฟเวอร์ที่คุณกำลังเชื่อมต่อยังไม่ถูกแฮ็ก

มันถามคุณเพราะไม่เคยเชื่อมต่อกับโฮสต์นี้มาก่อน

หากคุณอยู่ในสภาพแวดล้อมที่ปลอดภัยคุณจะรู้ว่ามีลายนิ้วมือของโฮสต์ระยะไกลและจะทำการเปรียบเทียบกับการเชื่อมต่อครั้งแรกหากลายนิ้วมือตรงกับสิ่งที่คุณรู้ว่าควรจะเป็น หากคุณอยู่ในสภาพแวดล้อมที่ปลอดภัยน้อยกว่าคุณสามารถยอมรับได้ในการเชื่อมต่อครั้งแรก

เมื่อคุณพูดว่า " ใช่ฉันเชื่อถือคีย์โฮสต์นั้นและต้องการให้มันเชื่อมโยงกับชื่อโฮสต์ / IP นั้น " ไคลเอ็นต์ SSH จะจดจำสิ่งนี้ให้คุณ ... ถ้าด้วยเหตุผลใดก็ตาม (ติดตั้งใหม่ / คีย์โฮสต์ใหม่ / ใหม่ เครื่อง / ชายตรงกลาง) กุญแจไม่ตรงกับการเชื่อมต่อที่ตามมาคุณจะเห็นคำเตือนดังต่อไปนี้:

$ ssh baloo
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
SHA256:Su0uy/4BcRcpmyLfxO9ndlcda52F8uct6yWNp7Sa92M.
Please contact your system administrator.
Add correct host key in /home/attie/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /home/attie/.ssh/known_hosts:65
  remove with:
  ssh-keygen -f "/home/attie/.ssh/known_hosts" -R baloo
ECDSA host key for baloo has changed and you have requested strict checking.
Host key verification failed.

ในสถานการณ์นี้หากคุณรู้ว่าโฮสต์ระยะไกลมีการเปลี่ยนแปลงแน่นอนคุณสามารถดำเนินการต่อไป ... อาจเป็นการตรวจสอบว่าลายนิ้วมือถูกต้อง

หากคุณไม่แน่ใจหรือรู้ว่ารีโมตโฮสต์ไม่ควรเปลี่ยนจากนั้นจะแจ้งให้คุณทราบถึงการโจมตีที่อาจเกิดขึ้น

เมื่อคุณได้รับข้อความนี้ SSH กำลังพูดว่า "ฉันไม่เคยเห็นคอมพิวเตอร์เครื่องนี้มาก่อนเลยดังนั้นฉันไม่แน่ใจว่าเป็นคนที่บอกว่าเป็นใครคุณเชื่อใจหรือไม่" ณ จุดนี้คุณสามารถพูดได้ว่าคุณเชื่อถือและในอนาคตคอมพิวเตอร์ของคุณจะจดจำและไม่ถามคุณอีก

คุณควรจะเปรียบเทียบคีย์ที่ให้มาพร้อมกับคีย์บนเซิร์ฟเวอร์ด้วยตนเอง (เช่นเดียวกับที่คุณเชื่อถือคีย์ GPG โดยการตรวจสอบว่าบุคคลที่คุณเชื่อว่าเป็นของจริงสามารถสร้างคีย์สาธารณะ) แม้ว่าในความเป็นจริงผู้คนไม่ได้ใส่ใจกับสิ่งนี้ (อย่างน้อยก็จากความรู้ของฉัน)

ประโยชน์ที่แท้จริงมาจากทุกครั้งที่คุณเชื่อมต่อกับเซิร์ฟเวอร์ หาก SSH บ่นเกี่ยวกับเซิร์ฟเวอร์ที่คุณไว้วางใจแล้วว่าไม่ใช่เซิร์ฟเวอร์เดียวกันนั่นหมายความว่าคุณมีโอกาสที่จะตกเป็นเหยื่อของการโจมตี MiTM

เหนือสิ่งอื่นใดถ้าคุณอยู่ในเครือข่ายที่คุณมั่นใจว่าไม่มี Man in The Middle attack เกิดขึ้นและนี่เป็นครั้งแรกที่คุณเชื่อมต่อกับคอมพิวเตอร์คุณควรจะปลอดภัยที่จะรับกุญแจ (แม้ว่าถ้าคุณกำลังทำงานในภารกิจลับสุดยอดของรัฐบาลอยู่แล้วอาจขอให้ผู้ดูแลระบบของคุณยืนยันลายนิ้วมือก่อนทำการเชื่อมต่อ)