2012-05-05 23:39:28 +0000 2012-05-05 23:39:28 +0000
84
84

SSH: L'autenticità dell'host non può essere stabilita

Cosa significa questo messaggio? È un potenziale problema? Il canale non è sicuro?

Oppure è semplicemente un messaggio predefinito che viene sempre visualizzato quando ci si connette ad un nuovo server?

Sono abituato a vedere questo messaggio quando si usa SSH in passato: Ho sempre inserito il mio login con una password nel modo normale, e mi sentivo bene perché non utilizzavo chiavi private/pubbliche (che è molto più sicuro di una password breve). Ma questa volta ho impostato una chiave pubblica con ssh per la mia connessione a bitbucket, ma ho comunque ricevuto il messaggio. Sono consapevole che il prompt della passphrase alla fine è una diversa misura di sicurezza supplementare, per la decrittazione della chiave privata.

Spero che qualcuno possa dare una bella spiegazione di cosa significhi questo messaggio “l'autenticità non può essere stabilita”. 

The authenticity of host 'bitbucket.org (207.223.240.181)' can't be established.

RSA key fingerprint is 97:8c:1b:f2:6f:14:6b:5c:3b:ec:aa:46:46:74:7c:40.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'bitbucket.org,207.223.240.181' (RSA) to the list of
known hosts.
Enter passphrase for key '/c/Users/Steven/.ssh/id_rsa':
Fonte

Risposte (7)

71
71
71
2012-05-06 00:23:59 +0000

Ti dice che non ti sei mai connesso a questo server prima d'ora. Se te lo aspettavi, è perfettamente normale. Se sei paranoico, verifica il checksum/impronta della chiave usando un canale alternativo. (Ma notate che qualcuno che può reindirizzare la vostra connessione ssh può anche reindirizzare una sessione del browser web.)

Se vi siete collegati a questo server prima da questa installazione di ssh, allora o il server è stato riconfigurato con una nuova chiave, o qualcuno sta spoofing l'identità del server. A causa della gravità di un attacco man-in-the-middle, vi avverte della possibilità.

In entrambi i casi, avete un canale criptato sicuro per somebody. Nessuno senza la chiave privata corrispondente all'impronta digitale 97:8c:1b:f2:6f:14:6b:5c:3b:ec:aa:46:46:74:7c:40 può decodificare ciò che inviate.

La chiave che usate per autenticarvi non è correlata… non vorreste inviare informazioni di autenticazione a un server fraudolento che potrebbe rubarle, e quindi non dovreste aspettarvi alcun cambiamento a seconda che usiate una passphrase o una chiave privata per il login. Semplicemente non siete ancora arrivati a questo punto.
Fonte
23
23
23
2016-08-10 11:42:38 +0000

Diciamo che si incontra qualcuno per scambiare qualche segreto aziendale. Il vostro consulente vi dice che non avete mai incontrato quella persona prima d'ora e che può essere un impostore. Inoltre, per i prossimi incontri con lui, il vostro consulente non vi avvertirà più. Questo è il significato del messaggio. La persona è il server remoto, e il vostro consulente è il client ssh.

Non credo sia paranoico controllare due volte l'identità della persona prima di condividere segreti con lei. Per esempio, potreste aprire una pagina web con una sua foto e confrontarla con il volto che avete davanti. Oppure controllare la sua carta d'identità.

Per il server bitbucket, potreste usare un computer diverso, più affidabile, e ottenere da esso la immagine del suo viso, per poi confrontarla con quella che avete nel computer che state usando ora. Uso: 

ssh-keyscan -t rsa bitbucket.org | ssh-keygen -lv -f -
``` ```
ssh-keyscan -t rsa -H bitbucket.org >> ~/.ssh/known_hosts

Se le facce corrispondono, si può aggiungere la chiave al file ad esempio ~/.ssh/known_hosts (posizione standard in molte distribuzioni Linux) con:

&001

e il client ssh non vi avviserà perché conosce già la sua faccia. Confronterà le facce ogni volta che vi connetterete. Questo è molto importante. Nel caso di un impostore (ad es. un attacco man-in-the-middle), il client ssh rifiuterà la connessione perché la faccia sarà cambiata.
Fonte
5
5
5
2014-07-16 15:44:43 +0000

Ho dovuto semplicemente creare il file di testo known_hosts in ~/.ssh 

sudo vim ~/.ssh/known_hosts
sudo chmod 777 ~/.ssh/known_hosts

Dopo averlo fatto, ha aggiunto l'host e non ho più visto il messaggio.
Fonte
2
2
2
2014-12-16 08:23:53 +0000

C'è un altro modo semplice Semplicemente toccando un file “config” sotto /root/.ssh e aggiungendo il parametro StrictHostKeyChecking no La prossima volta che si effettua il login su un server, la loro chiave rsa sarà aggiunta a host conosciuti e non chiederà “sì” per la conferma dell'autenticità
Fonte
1
1
1
2012-05-05 23:52:02 +0000

Questo messaggio è solo SSH che vi dice che non ha mai visto questa particolare chiave host prima d'ora, quindi non è in grado di verificare veramente che vi state connettendo all'host che pensate di essere. Quando dici “Sì” mette la chiave ssh nel tuo file host conosciuto, e poi nelle connessioni successive confronta la chiave che riceve dall'host con quella nel file host conosciuto.

C'era un articolo correlato sullo stack overflow che mostrava come disabilitare questo avviso, https://stackoverflow.com/questions/3663895/ssh-the-authenticity-of-host-hostname-cant-be-established .
Fonte
0
0
0
2017-11-04 13:51:11 +0000

A parte le risposte già date (non vi siete mai collegati a questo host prima), c'è anche la netta possibilità che non vi siate mai collegati prima dall'host attuale (a quell'host); questo è solo psicologicamente diverso; pensate di collegarvi dall'host A (a B), mentre in realtà state cercando di collegarvi dall'host X (a B). Questo può accadere, per esempio, quando prima ssh-ed da A a X e poi dallo stesso terminale cercate di ssh a B pensando di essere ancora su A.
Fonte
0
0
0
2018-05-11 11:03:59 +0000

Nel mio caso la password meno il login non funzionava a causa delle autorizzazioni della mia home directory perché ho modificato le impostazioni predefinite. Infine, ecco cosa ha funzionato per me. le mie autorizzazioni per la directory home sono

/home/nome utente 

drwxr----x. 18 username groupname 4096 May 11 11:52 username

/home/username/.ssh 

268823097 drwx------ 2 username groupname 29 May 11 11:53 .ssh

/home/username/.ssh/authorized_keys 

-rw-r----- 1 username groupname 402 May 11 11:53 authorized_keys
Fonte