A mensagem “autenticidade do host não pode ser estabelecida” no SSH reflete um risco de segurança?

19

Sempre que me conecto a um novo servidor SSH do meu computador, recebo esta mensagem:

The authenticity of host '[censored]:censored ([0.0.0.0]:censored)' can't be established.
RSA key fingerprint is SHA256:censored.
Are you sure you want to continue connecting (yes/no)?

Por que o SSH me pergunta isso?

Eu tenho algum risco de me conectar a um servidor SSH aleatório?

Ou isso é apenas para garantir que o servidor ao qual você está se conectando não tenha sido invadido?

    
por Charles Duffy 16.02.2018 / 14:03

2 respostas

29

Ele está perguntando porque nunca foi conectado a esse host antes.

Se você estiver em um ambiente seguro, você saberá a impressão digital do host remoto e a comparará na primeira conexão - se a impressão digital corresponder ao que você sabe que deveria ser, então ótimo. Se você estiver em um ambiente menos seguro, poderá aceitá-lo apenas na primeira conexão.

Uma vez que você disse " Sim, confio nessa chave do host, e quero que ela seja associada a esse hostname / IP ", o cliente SSH lembrará disso para você ... Se for seja qual for o motivo (reinstalar / novas chaves de host / nova máquina / homem no meio) a chave não corresponde em uma conexão subsequente, você verá um aviso como abaixo:

$ ssh baloo
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
SHA256:Su0uy/4BcRcpmyLfxO9ndlcda52F8uct6yWNp7Sa92M.
Please contact your system administrator.
Add correct host key in /home/attie/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /home/attie/.ssh/known_hosts:65
  remove with:
  ssh-keygen -f "/home/attie/.ssh/known_hosts" -R baloo
ECDSA host key for baloo has changed and you have requested strict checking.
Host key verification failed.

Nesta situação, se você sabe que o host remoto foi realmente alterado, então você pode continuar ... possivelmente verificando se a impressão digital está correta.

Se você não tiver certeza, ou souber que o host remoto não deve ter mudado, ele irá indicar um possível ataque.

    
por 16.02.2018 / 14:12
9

Quando você recebe esta mensagem, o SSH está simplesmente dizendo: "Eu nunca vi esse computador antes, por isso não posso ter certeza de quem ele é. Você confia?" Nesse ponto, você pode dizer que confia e, no futuro, seu computador se lembrará e não perguntará novamente.

O ideal é confiar nele, você deve comparar manualmente a chave fornecida com a chave no servidor (como você confiaria em uma chave GPG, verificando se a pessoa a quem você acredita pertencer pode, na verdade, gerar a chave pública). Embora na realidade as pessoas não se importem com isso (pelo menos do meu conhecimento).

O benefício real vem de cada vez que você se conecta ao servidor. Se o SSH reclamar do servidor no qual você já confiou que não é o mesmo servidor, existe a chance de você ser vítima de um ataque MiTM.

Acima de tudo, se você estiver em uma rede onde você está confiante de que não há um ataque Man in the Middle acontecendo e esta é a primeira vez que você está se conectando ao computador, então você deve estar seguro para aceitar a chave. (embora, se você estiver trabalhando em alguma missão secreta do governo, talvez peça ao administrador do sistema para verificar a impressão digital antes de se conectar)

    
por 16.02.2018 / 14:20