Eu pensei sobre isso e meu host oferece suporte fora de banda, então eu poderia simplesmente criar a impressão digital da chave fora de banda e compará-la ao me conectar a esse servidor em casa.
Existe alguma outra maneira além do acesso fora de banda onde você pode verificar se o host ao qual você está se conectando é de fato o servidor que você comprou?
Como isso é feito na prática?
Responder1
Se bem entendi, você está perguntando se existe algum meio - além dos canais fora de banda - para recuperar com segurança a impressão digital da chave pública do seu servidor ssh. A rigor, a resposta deve sernão, já que, teoricamente, um man-in-the-middle (MITM) poderia configurar um servidor ssh falso que permite "fazer login" independentemente das credenciais fornecidas. Se você não soubesse antecipadamente a impressão digital da chave pública do seu servidor real, não teria como saber que a impressão digital do servidor falso não era a do seu servidor real.
Na prática, a maioria das pessoas assume (e justificadamente, na maioria dos casos) que as chances de um MITM realmente falsificá-las são muito baixas e, portanto, elas simplesmente aceitam que a impressão digital da chave do servidor apresentada a elas quando se conectam pela primeira vez é a de seu servidor ssh real, e não um falso.
É claro que, à medida que você faz muitas conexões ssh com seu servidor ao longo do tempo, as chances de ver uma tentativa do MITM de falsificá-lo aumentarão. Felizmente, para cada conexão feita após a primeira, a chave pública do servidor será armazenada em seu known_hosts
arquivo. E então, se um MITM alguma vezfaztente algumas travessuras durante qualquer tentativa de conexão específica (depoiso primeiro), seu cliente ssh irá alertá-lo imediatamente sobre o fato de que a chave do servidor recém-recebida não corresponde à esperada e a conexão será abortada.
Concluindo, se você tiver meios fora de banda para saber a chave do seu servidor, deverá usá-los para verificar a chave ao fazer a primeira conexão que atualiza seu known_hosts
arquivo. Mas mesmo que você não tenha esses meios, embora haja umateóricorisco de segurança, o risco é provavelmente muito pequeno.