Проверьте отпечаток пальца для ключа ECDSA, отправленного удаленным хостом
Я получил известное предупреждающее сообщение при попытке ssh на сервер:
$ ssh whateverhost
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
SHA256:xxxxxxxxxxxxxxxxxxxxxxxxxxx/xxxxxxxxx/xxxxxxx.
Please contact your system administrator.
Add correct host key in /home/user/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /home/user/.ssh/known_hosts:10
ECDSA host key for ipofmyhost has changed and you have requested strict checking.
Host key verification failed.
И я знаю почему, потому что я изменил ip такого сервера. Но если бы это было не так, как я мог проверить отпечаток пальца на ключ ECDSA, отправленный удаленным хостом?
Я пытался сделать это путем:
echo -n ipofthehost | sha256sum
Но я не получаю такой же отпечаток пальца. Я также пробовал "hostname, ip" вроде как в aws, но у меня не было совпадений.
Если я удаляю запись из моего файла known_hosts и пытаюсь снова выполнить ssh, он завершается успешно и сообщает следующее:
ECDSA key fingerprint is SHA256:xxxxxxxxxxxxxxxxxxxxxxxxxxx/xxxxxxxxx/xxxxxxx.
Are you sure you want to continue connecting (yes/no)?
Так к чему он применяет сумму sha256 для получения отпечатка пальца и как я могу это проверить?
2 ответа
Отпечаток открытого ключа - это не простой хэш IP-строки.
Для получения открытого ключа удаленного хоста вы можете использовать ssh-keyscan <IP> тогда вы можете использовать обычные инструменты, чтобы извлечь свой отпечаток пальца (ssh-keygen -lf <public_key_file>).
Наконец, вы можете сравнить с текущим отпечатком пальца в вашем known_hosts файл с ssh-keygen -l -F <domain_or_ip>,
Немного подробнее: поскольку в предупреждающем сообщении указывается отпечаток ключа ECDSA, отправленный удаленным хостом, мы собираем информацию об открытом (ecdsa) ключе хоста:
ssh-keyscan -t ecdsa ip_or_hostmane > ecdsa_file_to_compare
Затем мы можем узнать, где в нашем файле known_hosts этот открытый (ecdsa) ключ:
ssh-keygen -l -F ipofhost
Если мы хотим сравнить отпечатки пальцев, мы должны поместить содержимое нашего файла known_hosts (только запись, относящуюся к этому хосту), мы можем назвать его ecdsa_file_from_known_hosts и затем сравнить их следующим образом:
ssh-keygen -lf ecdsa_file_to_compare
ssh-keygen -lf ecdsa_file_from_known_hosts
И проверьте, показывает ли тот же хэш.
Конечно, они не совпадают, поэтому я получил предупреждающее сообщение (ssh проверяет это соответствие внутри). Если мы уверены в смене ip (поэтому мы не страдаем от атаки "человек посередине"), мы можем просто удалить запись этого хоста в нашем файле known_hosts и в следующий раз, когда мы вставим в него новую свежую запись для он будет добавлен в такой файл.