SSH: l'authenticité de l'hôte <hôte> ne peut être établie

Que signifie ce message? Est-ce un problème potentiel? La chaîne n'est-elle pas sécurisée?

Ou est-ce simplement un message par défaut qui s'affiche toujours lorsque vous vous connectez à un nouveau serveur?

J'ai l'habitude de voir ce message lors de l'utilisation de SSH dans le passé: j'ai toujours entré dans mon login avec un mot de passe de la manière normale, et je me suis senti bien parce que je ne faisais pas usage de clés privées / publiques (ce qui est beaucoup plus sécurisé Qu'un court mot de passe). Mais cette fois j'ai configuré une clé publique avec ssh pour ma connexion à bitbucket mais j'ai toujours reçu le message. Je suis conscient que l'invite de la phrase de passe à la fin est une mesure de sécurité supplémentaire différente pour le décryptage de la clé privée.

J'espère que quelqu'un peut donner une belle explication de ce que signifie ce message «L'authenticité ne peut pas être établie».

The authenticity of host 'bitbucket.org (207.223.240.181)' can't be established. RSA key fingerprint is 97:8c:1b:f2:6f:14:6b:5c:3b:ec:aa:46:46:74:7c:40. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added 'bitbucket.org,207.223.240.181' (RSA) to the list of known hosts. Enter passphrase for key '/c/Users/Steven/.ssh/id_rsa': 

Il vous dit que vous ne vous êtes jamais connecté à ce serveur avant. Si vous l'attendiez, c'est parfaitement normal. Si vous êtes paranoïaque, vérifiez la somme de contrôle / empreinte digitale de la clé en utilisant un autre canal. (Mais notez que quelqu'un qui peut rediriger votre connexion ssh peut également rediriger une session de navigateur Web).

Si vous vous êtes connecté à ce serveur avant cette installation de ssh, le serveur a été reconfiguré avec une nouvelle clé, ou quelqu'un est en train de masquer l'identité du serveur. En raison de la gravité d'une attaque de l'homme dans le milieu, cela vous avertit de la possibilité.

Quoi qu'il en soit, vous avez un canal crypté sécurisé pour quelqu'un . Personne sans clé privée correspondant à l'empreinte digitale 97:8c:1b:f2:6f:14:6b:5c:3b:ec:aa:46:46:74:7c:40 peuvent décoder ce que vous envoyez.

La clé que vous utilisez pour vous authentifier n'est pas liée … vous ne voudriez pas envoyer des informations d'authentification à un serveur frauduleux qui pourrait le voler, et vous ne devriez donc vous attendre à aucun changement selon que vous allez utiliser une phrase secrète ou Clé privée pour se connecter. Vous n'êtes tout simplement pas encore arrivé dans le processus.

Disons que vous rencontrez quelqu'un pour échanger des secrets d'affaires. Votre conseiller vous dit que vous n'avez jamais rencontré cette personne auparavant, et que cela peut être un impostor. De plus, pour les prochaines rencontres avec lui, votre conseiller ne vous avertira plus. C'est ce que signifie le message. La personne est le serveur distant, et votre conseiller est le client ssh.

Je ne pense pas qu'il soit paranoïaque de vérifier l'identité de la personne avant de partager des secrets avec elle. Par exemple, vous pouvez ouvrir une page Web avec une photo d'elle et la comparer avec le visage en face de vous. Ou vérifiez sa carte d'identité.

Pour le serveur bitbucket, vous pouvez utiliser un ordinateur différent et plus fiable et obtenir l' image de son visage , puis comparez-le avec celui que vous recevez dans l'ordinateur que vous utilisez maintenant. Utilisation:

  ssh-keyscan -t rsa bitbucket.org | ssh-keygen -lv -f - 

Si les visages correspondent, vous pouvez ajouter la clé au fichier, par exemple ~/.ssh/known_hosts (emplacement standard dans de nombreuses distributions Linux) avec:

 ssh-keyscan -t rsa -H bitbucket.org >> ~/.ssh/known_hosts 

Et le client ssh ne vous avertira pas car il connaît déjà son visage . Il comparera les visages chaque fois que vous vous connectez. C'est très important. Dans le cas d'un imposteur (p. Ex. Une attaque de l'homme dans le milieu), le client ssh rejette la connexion car le visage aura changé.

J'ai simplement dû créer le fichier texte known_hosts dans ~/.ssh

 sudo vim ~/.ssh/known_hosts sudo chmod 777 ~/.ssh/known_hosts 

Après avoir fait cela, il a ajouté l'hôte et je n'ai jamais vu le message à nouveau.

Ce message est juste SSH vous disant qu'il n'a jamais vu cette clé d'hôte particulière avant, donc il est impossible de vérifier véritablement que vous vous connectez à l'hôte que vous pensez être. Lorsque vous dites "Oui", il met la clé ssh dans votre fichier known_hosts, puis les connexions suivantes vont comparer la clé qu'il obtient de l'hôte à celle du fichier known_hosts.

Il y a eu un article connexe sur le débordement de la pile montrant comment désactiver cet avertissement, https://stackoverflow.com/questions/3663895/ssh-the-authenticity-of-host-hostname-cant-beestaestait .

Il y a un autre moyen simple Il suffit de toucher un fichier "config" sous /root/.ssh et d'ajouter le paramètre StrictHostKeyChecking non La prochaine fois que vous vous connectez à un serveur, ils seront ajoutés à known_hosts et ne demanderont pas "yes" Pour confirmation d'authenticité