Obter impressão digital SSH do servidor remoto com segurança?

Question

Se bem entendi, você está perguntando se existe algum meio - além dos canais fora de banda - para recuperar com segurança a impressão digital da chave pública do seu servidor ssh. A rigor, a resposta deve sernão, já que, teoricamente, um man-in-the-middle (MITM) poderia configurar um servidor ssh falso que permite "fazer login" independentemente das credenciais fornecidas. Se você não soubesse antecipadamente a impressão digital da chave pública do seu servidor real, não teria como saber que a impressão digital do servidor falso não era a do seu servidor real.

Na prática, a maioria das pessoas assume (e justificadamente, na maioria dos casos) que as chances de um MITM realmente falsificá-las são muito baixas e, portanto, elas simplesmente aceitam que a impressão digital da chave do servidor apresentada a elas quando se conectam pela primeira vez é a de seu servidor ssh real, e não um falso.

É claro que, à medida que você faz muitas conexões ssh com seu servidor ao longo do tempo, as chances de ver uma tentativa do MITM de falsificá-lo aumentarão. Felizmente, para cada conexão feita após a primeira, a chave pública do servidor será armazenada em seu known_hostsarquivo. E então, se um MITM alguma vezfaztente algumas travessuras durante qualquer tentativa de conexão específica (depoiso primeiro), seu cliente ssh irá alertá-lo imediatamente sobre o fato de que a chave do servidor recém-recebida não corresponde à esperada e a conexão será abortada.

Concluindo, se você tiver meios fora de banda para saber a chave do seu servidor, deverá usá-los para verificar a chave ao fazer a primeira conexão que atualiza seu known_hostsarquivo. Mas mesmo que você não tenha esses meios, embora haja umateóricorisco de segurança, o risco é provavelmente muito pequeno.

Answer 1

Se bem entendi, você está perguntando se existe algum meio - além dos canais fora de banda - para recuperar com segurança a impressão digital da chave pública do seu servidor ssh. A rigor, a resposta deve sernão, já que, teoricamente, um man-in-the-middle (MITM) poderia configurar um servidor ssh falso que permite "fazer login" independentemente das credenciais fornecidas. Se você não soubesse antecipadamente a impressão digital da chave pública do seu servidor real, não teria como saber que a impressão digital do servidor falso não era a do seu servidor real.

Na prática, a maioria das pessoas assume (e justificadamente, na maioria dos casos) que as chances de um MITM realmente falsificá-las são muito baixas e, portanto, elas simplesmente aceitam que a impressão digital da chave do servidor apresentada a elas quando se conectam pela primeira vez é a de seu servidor ssh real, e não um falso.

É claro que, à medida que você faz muitas conexões ssh com seu servidor ao longo do tempo, as chances de ver uma tentativa do MITM de falsificá-lo aumentarão. Felizmente, para cada conexão feita após a primeira, a chave pública do servidor será armazenada em seu known_hostsarquivo. E então, se um MITM alguma vezfaztente algumas travessuras durante qualquer tentativa de conexão específica (depoiso primeiro), seu cliente ssh irá alertá-lo imediatamente sobre o fato de que a chave do servidor recém-recebida não corresponde à esperada e a conexão será abortada.

Concluindo, se você tiver meios fora de banda para saber a chave do seu servidor, deverá usá-los para verificar a chave ao fazer a primeira conexão que atualiza seu known_hostsarquivo. Mas mesmo que você não tenha esses meios, embora haja umateóricorisco de segurança, o risco é provavelmente muito pequeno.

Obter impressão digital SSH do servidor remoto com segurança?

Responder1

informação relacionada