Se eu entendi corretamente, você está perguntando se há algum meio - além de canais fora de banda - para recuperar com segurança a impressão digital da chave pública do servidor ssh. Estritamente falando, a resposta deve ser não , uma vez que, teoricamente, um man-in-the-middle (MITM) poderia configurar um servidor ssh falso que permite "login", independentemente das credenciais que você fornecem. Se você não conhecia a impressão digital da chave pública do seu servidor real antecipadamente, não teria como saber que a impressão digital do servidor falso não era a do seu servidor real.
Na prática, a maioria das pessoas assume (e justificadamente, na maioria dos casos) que as chances de um MITM falsificando-as são muito baixas, e assim elas simplesmente aceitam que a impressão digital da chave do servidor é apresentada a elas pela primeira vez. é a do seu verdadeiro servidor ssh, e não o de um falso.
É claro que, à medida que você faz muitas conexões ssh com seu servidor ao longo do tempo, as chances de ver uma tentativa de falsificação do MITM se acumularão. Felizmente, para cada conexão que você fizer após a primeira, a chave pública do servidor será armazenada no arquivo known_hosts
. E assim, se um MITM ever fizer tentar alguns truques durante qualquer tentativa de conexão em particular ( após o primeiro), seu cliente ssh irá alertá-lo imediatamente para o fato de que o servidor A chave que acabou de receber não corresponde àquela esperada, e a conexão será abortada.
Em conclusão, se você tiver meios fora da banda de conhecer a chave do seu servidor, então você deve usá-lo para verificar a chave quando você faz a primeira conexão que atualiza seu arquivo known_hosts
. Mas mesmo que você não tenha esses meios, embora exista um risco de segurança teórico , o risco provavelmente é muito pequeno.