Por que as chaves de hosts SSH diferem ao conectar se as host_keys forem iguais?

Question

Por que as chaves de hosts SSH diferem ao conectar se as host_keys forem iguais?

#1 resposta do (5 votos)
#2 resposta do (0 votos)

3

Existem 3 máquinas: A (de onde eu me conecto a B e C), B e C.
B e C têm as mesmas chaves de host SSHD (elas foram copiadas, portanto são 100% iguais, SSHD foi reiniciado também, arquivo sshd_config idêntico).

Em C, o arquivo known_hosts se parece com isto:

C:~/.ssh # grep B *
C:~/.ssh # grep A *
known_hosts:ssh-rsa xxxx...xxxx
C:~/.ssh #

Quando tentamos conectar de C a A, o "A" oferece a chave de hosts RSA.
Quando tentamos conectar de C a B, o "B" oferece a chave de hosts ECDSA.

Pergunta: Por quê? Não seria lógico que o servidor "A" e "B" oferecesse ambas as chaves ex .: RSA SSHD hosts?

sshd

por gasko peter 07.10.2013 / 14:01

2 respostas

0

Os servidores aos quais você está tentando se conectar têm as mesmas versões /etc/ssh/sshd_config e / ou OpenSSH (e OpenSSL) (os bits sobre configurações idênticas e onde você está se conectando parecem ser um pouco contraditórios)? O ECDH / ECDSA foi introduzido no OpenSSH 5.7p1, portanto, se um servidor for mais antigo, ele simplesmente ignorará o arquivo-chave.

por 07.10.2013 / 14:08

Tags sshd

Tamanho do Script Shell 57M Como faço para verificar o site do OpenBSD via CVS?

score 5 · Accepted Answer

As teclas ECDH / ECDSA são preferidas ao aprender uma tecla do host pela primeira vez. Como o host C já conhece a chave RSA do host A, ele continua usando isso. Mas como o host C não sabe nada sobre as chaves do host B, o ECDH / ECDSA é usado.

(referenciei as notas de lançamento para 5.7 , quando o ECDH / ECDSA foi introduzido).

Perguntas que recebi: As duas chaves são necessárias? Bem, sim. Nem todas as instalações do SSH suportam o ECDSA, portanto você precisa do RSA. (Por exemplo, a massa não faz ainda o ECDSA) O que acontece se eu tivesse apenas ECDSA? Depende de quem está tentando entrar em contato com você. Se eles suportam ECDSA, então tudo funciona como esperado. Se não o fizerem, você terá algum tipo de falha. Qual é o melhor? Eu pessoalmente não sei. ECDSA requer menos potência, então eu achei mais agitado em hardware mais antigo. E como o OpenSSH prefere o RSA, acredito que os desenvolvedores achem que o ECDSA é melhor.