今日、git Push
、言って
警告:IPアドレス「192.30.253.112」のRSAホストキーが既知のホストのリストに永久に追加されました。
GitHubがホワイトリストに登録する必要があるGitHubのIPアドレスは何ですか? に基づいて、それは一貫性があるように見えますが、CIDR表記がどのように機能するか調べたことはありません。
ただし、 http://ip-lookup.net/index.php で192.30.253.112を検索しようとすると、「ホスト」情報に文字どおりの疑問符しか表示されません。 「IP所有者情報(Whois)」セクションを開いた場合にのみ、GitHubに関連付けられていることがわかります。
この異常な動作はセキュリティの観点から心配する必要がありますか?
いいえ、心配する必要はありませんが、IPアドレスに依存するのではなく、 GitHubのサーバーフィンガープリント を確認する必要があります。
git
コマンドを使用すると、最初の(すべての)接続でのみそれが実行されます。公開キー(フィンガープリントに対応)がknown_hosts
ファイルにある場合、github.com
への以降の接続では、ドメインが新しいIPアドレスに解決された場合にのみ警告が発生します。これは、CheckHostIP=no
オプションを指定したssh
コマンドを使用するのと同じです。
確認のために新しい指紋が画面に表示された場合は、注意が必要です(信頼できる発行元に確認してください)。
ip-lookup.net
の結果について:
ip-lookup.net
は、逆引きDNSを使用して、どのDNS名がIPアドレスに関連付けられているかを調べます。
192.30.253.112
の場合、対応する転送DNSレコードのないアドレス112.253.30.192.in-addr.arpa
をクエリします。
GitHub側では構成の誤りまたは厳密に強制されていないように見えますが、このシナリオでは検証メカニズムは実行できません。
Git(SSH)クライアントがgithub.com
ドメインに接続している場合、不正なIPにリダイレクトする危害を受けたDNSサーバーを想定すると、逆DNSルックアップを使用した宛先アドレスの検証は同じ攻撃(脆弱なDNS)の影響を受けやすくなります。サーバーは、アドレスがgithub.com
の所有者に属することを確認し、DNSを逆引きします)。
IP所有権の確認に関係なく、サーバーのフィンガープリントを確認することで、サーバーの偽装やMitM攻撃が行われていないことを確認できます。