web-dev-qa-db-ja.com

真ん中の「修正」男

サーバーにssh接続して(sshキーを介して認証)、既知のメッセージWARNING: REMOTE Host IDENTIFICATION HAS CHANGED!を取得しようとしました。私はサーバー管理者です(ただし、私は優れたサーバー管理者ではありません)。このサーバーでは何も変更しません。別の同僚がこのサーバーにアクセスでき(sshキーによる認証も可能)、エラーは発生しません。そして、別のサーバーがこのサーバーに接続できます(sshキーによる認証)。

したがって、これは私にのみ起こります。 ssh-keygen -R xxx.xxx.xxx.xxxでキーを再生成しましたが、問題はありません。現在はすべて「問題ありません」が、セキュリティの問題があるかどうかはわかりません。そうすることで、私はその中間の問題を解決しましたか、それとも私は暴露されましたか?もしそうなら、私は何をすべきですか?

言い換えれば、私の質問は次のとおりです。パニックに陥る必要がありますか?

もう1つの副次的な質問:この種の質問をするのに適切な場所ですか

PS:キーの種類はssh-rsaでしたが、現在はecdsa-sha2-nistp256になっています。理由はわかりませんが、同僚にとってはssh-rsaのままです

7
rap-2-h

ssh-keygen -R xxx.xxx.xxx.xxxでキーを再生成します

これは重要な再生ではありません!これは、known_hostsファイルからのキーの削除です。中間者がいた場合、攻撃者はサーバーに対して認証を受けることができます。

同じセットが得られる場合は、マシンと同僚のサーバーキーを確認する必要があります(サーバーからすべての公開sshキーを取得するための適切なツールはssh-keyscanです)。通常、サーバーにはさまざまなキー(およびキータイプ)がありますが、削除する前にknown_hostsファイルの内容を知らなければ、問題の原因を特定することができません。

known_hostsからの古い公開鍵がまだある場合は、それを削除する前に、同僚にそのサーバー用に保存されている鍵と、サーバー上の実際の鍵(できればサーバーへの物理的なアクセスによるもの)を確認してください。しかし、ssh-keyscanも役立ちます)。それがどこかで異なる場合は、実際の問題が発生している可能性があるため、インフラストラクチャまたはマシンとサーバーをさらに調査する必要があります。

2
Jakuje