¿Obtener la huella digital SSH del servidor remoto de forma segura?

¿Obtener la huella digital SSH del servidor remoto de forma segura?

Había pensado en esto y mi host proporciona soporte fuera de banda, por lo que simplemente podría crear la huella digital clave fuera de banda y compararla cuando me conecto a ese servidor desde casa.

¿Existe alguna otra forma además del acceso fuera de banda en la que pueda verificar que el host al que se está conectando es efectivamente el servidor que compró?

¿Cómo se hace esto en la práctica?

Respuesta1

Si le entiendo correctamente, está preguntando si existe algún medio, aparte de los canales fuera de banda, para recuperar de forma segura la huella digital de la clave pública de su servidor ssh. En rigor, la respuesta debe serNo, ya que, en teoría, un intermediario (MITM) podría configurar un servidor ssh falso que le permita "iniciar sesión" independientemente de las credenciales que proporcione. Si no conociera la huella digital de la clave pública de su servidor real de antemano, no tendría forma de saber que la huella digital del servidor falso no era la de su servidor real.

En la práctica, la mayoría de las personas asumen (y con razón, en la mayoría de los casos) que las probabilidades de que un MITM realmente los engañe son muy bajas, por lo que simplemente aceptan que la huella digital de la clave del servidor que se les presenta cuando se conectan por primera vez es la de su servidor ssh real, y no uno falso.

Por supuesto, a medida que realiza muchas conexiones ssh a su servidor a lo largo del tiempo, se acumularán las probabilidades de ver un intento MITM de falsificarlo. Afortunadamente, por cada conexión que realices después de la primera, la clave pública del servidor se almacenará en tu known_hostsarchivo. Y así, si alguna vez un MITMhaceintentar algunas travesuras durante cualquier intento de conexión en particular (despuésel primero), su cliente ssh le alertará inmediatamente sobre el hecho de que la clave del servidor que acaba de recibir no coincide con la esperada y la conexión se cancelará.

En conclusión, si tiene medios fuera de banda para conocer la clave de su servidor, entonces debe usarlos para verificar la clave cuando realiza la primera conexión que actualiza su known_hostsarchivo. Pero incluso si no tienes esos medios, aunque hay unateóricoriesgo de seguridad, el riesgo es probablemente muy pequeño.

información relacionada