私は長年、WinSCP、OpenSSHなどのSSHクライアント経由でLinux/Unixサーバーに接続してきました。最近、POTENTIAL SECURITY BREACH次のような警告が表示されました。
サーバーのホスト キーが WinSCP のキャッシュにあるものと一致しません。これは、サーバー管理者がホスト キーを変更したか、サーバーを装った別のコンピューターに接続したことを意味します。
サーバー管理者に連絡する以外に、実際の SSH キーが何であるかを確認することはできますか?
携帯電話からセルラーデータを使用して同じサーバーに SSH 接続したところ、報告されたホスト キーは WinSCP に表示される新しいキーと同じでした。中間者攻撃について、またコンピューターが侵害されたときや他の問題が発生したときに MITMA が発生するかどうかについては、十分に理解していません。しかし、異なるルート (イーサネットとセルラー) と OS を使用してサーバーにアクセスし、同じキーを取得したことを考えると、サーバー キーが実際に変更された可能性が高いと考えました。
これは合理的な仮定でしょうか?
ありがとう。
答え1
これは合理的な仮定でしょうか?
2つの異なるルートを使用することで攻撃者を排除あなたの近くにルート上には手がかりはあるものの、どこかに攻撃者がいないという保証はない。サーバーに近い。
通常、この警告はキーが実際に変更されたために発生しますが、確実ではありません。最も簡単な方法は、サーバー管理者に確認することです。できれば、他の信頼できるチャネル (https ページ、SSHFP DNS レコード) でキーのフィンガープリントを公開する必要があります。