Verifiera ssh host key

För att skydda mot man-in-the-middle-attacker använder sig ssh av ett system med värdnycklar (host keys). Det innebär att varje gång man ansluter till en ssh-server så identifierar sig servern med hjälp av en värdnyckel som jämförs med den nyckel som tidigare sparats på klienten (vanligtvis i filen ~/.ssh/known_hosts).

Om man aldrig tidigare anslutit till den aktuella servern, eller om man tagit bort värdnyckeln, så har man ingen nyckel att jämföra med. Man får då följande fråga:

The authenticity of host 'server.domain.tld (10.0.0.5)' can't be established.
ECDSA key fingerprint is a3:0a:fe:bd:70:7b:32:24:21:0b:c8:44:30:d0:bb:46.
Are you sure you want to continue connecting (yes/no)?

Innan man svarar ja på ovanstående fråga så bör man kontrollera så att fingeravtrycket stämmer för den aktuella servern. Detta görs på servern och i idealfallet av någon som har fysisk tillgång till den. Denna person kan sedan distribuera fingeravtrycken på lämpligt sätt. Om man inte kan få värddatorns fingeravtryck sänt till sig på något lämpligt sätt så kan man acceptera nyckeln temporärt för att kunna logga in på servern. Man genomför sedan nedanstående verifieringsprocess över ssh. Om fingeravtrycket stämmer så kan man vara hyfsat säker på ingen man-in-the-middle-attack förekommer.

Värdnycklarna finns på ett linux-system vanligtvis i katalogen /etc/ssh. För att ta fingeravtryck på nycklarna använder man sig av kommandot

$ssh-keygen -l -f SÖKVÄG_TILL_NYCKELN

För fingeravtrycket på ECDSA-nyckeln ovan blir kommandot

$ssh-keygen -l -f /etc/ssh/ssh_host_ecdsa_key.pub

För att generera fingeravtryck för värdens DSA- och RSA-nycklar ändrar man bara till motsvarande filnamn i kommandot ovan.

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s