web-dev-qa-db-ja.com

変更されたSSHフィンガープリントの原因は何ですか?

SSHフィンガープリントの変更の考えられる原因は何ですか?

いくつかの状況:政府のシステムでデリケートな脆弱性を見つけてそれを彼らに開示した後、以前に起こったことを覚えていない何かが起こりました。脆弱性を確認するために使用したVPSに接続すると、私のsshクライアントがキーについて不平を言いました。指紋は保存されたものと一致しませんでした。保存したものがまだそこにあることを確認し、すぐにVPSを再起動した後、再び一致しました。

悪意のある干渉が原因である可能性は何ですか?

man-in-the-middlessh
6
J.A.K.

この場合の正しい想定は、別のサーバーに接続していることです。

  • たぶんMitM攻撃か
  • dNSが偽装されているか、
  • 多分あなたのデータセンターはちょうど彼らが政府から電話を受けたのであなたが彼らの「サーバーに到達できない」キャッチオールマシンに接続しようとしているためにあなたのマシンを一瞬削除したばかりか、
  • 多分あなたのサーバーは突然の負荷と前述のホールドの下でクラッシュしたか...

間違ったマシンに接続する理由はたくさんありますが、絶対に先に進まないでください。

無害な理由もいくつかありますが、誤検知は、人々をとにかく接続させることがあります。

私が今考えることができる偽陽性:

  • サーバーは、もはやサポートしたくない古い暗号スイートを削除しました。
  • サーバーIPが変更され、設定に「CheckHostIP yes」が含まれている(多くのシステムのデフォルト)。
  • デフォルトの暗号スイートが変更されたため、別のホスト名を使用して(gitlabのようなものを考えて)同じサーバーに接続しました。 (これは本当にあいまいですが、私はそれに遭遇しました。)

説明したように ここ 公開鍵認証はMitM攻撃を防ぐことに注意してください。もちろん、間違ったマシンにログインしてSudoパスワードを入力することを妨げるものではありません。したがって、注意が必要です。

8
Elias

これは絶対に、パス上の攻撃者が中間者攻撃を開始し、VPSのSSHサーバーになりすまそうとすることによって引き起こされる可能性があります。彼らはホストキーを持っていないので、彼らは自分のものを提示するだけで、警告をトリガーします。このエラーがトリガーされるもう1つの一般的な理由は、SSH接続先のサーバーのIPアドレスが変更された場合です。 known_hostsファイルは、基本的にIP、SSHホストキーのフィンガープリント、ホスト名をエンコードします。ホスト名のIPまたはSSHキーフィンガープリントが変更されると、警告が表示されます。

1
returneax