Domanda Opzione ssh_config visual host (si no)


/etc/ssh/ssh_config ha ssh_visual host key no opzione. Cosa fa?


Modificato: infatti, Visual, non virtuale. Eppure, cosa controlla?


0
2018-04-26 14:37


origine


Sei sicuro di non fraintendere VisivoHostKey? - steeldriver


risposte:


Vedere man ssh_config:

VisualHostKey

If this flag is set to yes, an ASCII art representation
of the remote host key fingerprint is printed in addition
to the fingerprint string at login and for unknown host keys.
If this flag is set to no (the default), no finger‐print 
strings are printed at login and only the fingerprint string
will be printed for unknown host keys.

2
2018-05-01 15:06





Firsly, considera quello /etc/ssh/ssh_config è l'SSH cliente configurazione a livello di sistema. Questo significa che ogni volta che tu ssh dal tuo computer ai server remoti, questa configurazione entra in gioco.

Per impostazione predefinita, quando ci si connette a un server per la prima volta, il sistema chiede di indicare se l'impronta digitale SSH dal server remoto è "prevista" o meno, in modo da poter verificare se il server è effettivamente legittimo o meno (il server admin può dirti quale sia l'impronta digitale del server, e tu verifichi ciò che vedi nel client SSH rispetto a quello che ti dicono). La maggior parte degli utenti finali non ha intenzione di passare da un personaggio all'altro per verificare l'impronta digitale.

Tuttavia, c'è un componente aggiuntivo che vediamo con la chiave gen che non vediamo di default con la verifica dell'impronta digitale SSH. Si chiama "arte casuale" e ogni chiave / impronta digitale dovrebbe avere un'arte casuale unica.

Considera questa chiave che ho appena generato, per una chiave "fasulla", ovviamente, all'interno di un contenitore bionico. Ci mostra un randomart e l'impronta digitale:

The key fingerprint is:
SHA256:xtaA8biLm/Jktn9A/j2sty686uosrRtz0GQIFw6nP2s root@bionic
The key's randomart image is:
+---[RSA 4096]----+
|o +.  .          |
| B .   =         |
|. o o o o        |
| . +  .o o       |
|  + .o. S .      |
|   + .o+         |
|  E.* .+ o       |
| .oO.+  = =      |
|  oBO++oo*oo     |
+----[SHA256]-----+

L'idea dietro l'immagine visiva della chiave host è che l'utente finale è probabilmente non andrà personaggio per carattere per verificare l'impronta digitale, e si baserà solo sui primi numerosi e ultimi caratteri come "scremare" l'impronta digitale. In effetti, a causa di ciò, gli attori delle minacce potrebbero provare a "impersonare" generando le chiavi che corrispondono ai primi diversi e agli ultimi caratteri dell'impronta digitale, per "ingannare" le persone dal momento che non sono in grado di eseguire il character-by- verifiche dell'impronta digitale dei caratteri.

È qui che entra in gioco il pezzo Random Art - chiavi diverse, anche se hanno gli stessi bit "primo" e "ultimo" avranno randomart diversi per chiavi diverse, che un utente standard sarebbe in grado di individuare come una differenza sostanziale ( che non verrebbe individuato su una chiave stessa a meno che non facciano identificazione / confronto delle impronte digitali carattere per carattere)

Di default, il client SSH lo fa non mostra il randomart delle chiavi remote (il VisualHostKey no impostazione è quella predefinita). Tuttavia, se si imposta VisualHostKey a yes e decommentare quella riga nel file di configurazione, quindi il sistema mostrerà anche il codice casuale della chiave remota per aiutare gli utenti a "verificare" che l'impronta digitale del server sia valida.

Innanzitutto, un esempio senza VisualHostKey impostato on:

$ ssh -p 22 teward@10.73.250.210
The authenticity of host '10.73.250.210 (10.73.250.210)' can't be established.
ECDSA key fingerprint is SHA256:ZDA6BYWGmr0ftUqQxCu1CsaonKqKKUM3fbMzKUlMorE.
Are you sure you want to continue connecting (yes/no)?

e ora lo stesso prompt ma con il randomart mostrato (VisualHostKey yes):

$ ssh -p 22 teward@10.73.250.210
The authenticity of host '10.73.250.210 (10.73.250.210)' can't be established.
ECDSA key fingerprint is SHA256:ZDA6BYWGmr0ftUqQxCu1CsaonKqKKUM3fbMzKUlMorE.
+---[ECDSA 256]---+
| . ..+=          |
|  = oo o         |
|o* =o   o        |
|*+*. o.o         |
|=o=o=. .S        |
|oE.oo+.o         |
|o .oooo +        |
|=.  oo =         |
|O.    . o        |
+----[SHA256]-----+
Are you sure you want to continue connecting (yes/no)?

Molto più facile determinare la casualart di un server che è "valido" rispetto alla rappresentazione testuale dell'impronta digitale, no?

(Si noti che questa è la descrizione "lunga" di ciò che la manpage sta affermando su quell'opzione di configurazione, ed è probabilmente più facile da capire con esempi visivi, e così via, che la spiegazione della manpage asciutta)


2
2018-05-01 15:12