web-dev-qa-db-ja.com

gitlab SSHホストキーのフィンガープリントが一致しないのはなぜですか?

SSH経由で大学のgitlabにログインしようとしました。予想通り、ホストが不明であることを警告されました。そのため、マニュアルの「現在の設定」ページでSSHホストキーを見つけようとしました。ただし、このキーは、SSHが最初の接続時に表示するキーと一致しないことがわかりました。

これを実証するために、- ここ gitlab.comのそれぞれの「instance_configuration」ページを見つけることができます。 RSA-SHA256フィンガープリントは、

2fdd0c7dfa7d9381f847266c800eafc96f5866fe859c4f1cf87da885c82e333a

このスーパーユーザーの投稿 で見つけたスクリプトを使用して(または初めてSSH経由で接続するときに)、SSHホストのRSA-SHA256は

ROQFvPThGrW4RuWLoL9tq9I9zJ42fK4XywyRtbOz/EQ

それは

44e405bcf4e11ab5b846e58ba0bf6dabd23dcc9e367cae17cb0c91b5b3b3fc44

16進数で(そしてうまくいけば、あなたが見るものと一致するかどうか…)。

私の質問:これらは等しくないはずですか?私は何か見落としてますか? SSH接続が安全であることをどのように確認できますか?

13
HerpDerpington

これが発生する理由は多数あります。

  1. ホスティング場所。Gitlabはダウンロードして他の場所でホストできます。 gitlabのページに投稿されたホストキーは、大学が独自のバージョンのgitlabをホストしている場合には何の意味もありません。その場合、gitlabのホストキーは表示されません。大学サーバーのホストキーが表示され、違いは無意味です。あなたは彼らのホストキーが何であるかを大学に尋ねなければならないでしょう、そしてあなたは彼らから答えを得ることはほとんどありません。
  2. 古くなった情報Gitlabのホストキーが変更された可能性があり、それに応じてヘルプページを更新するのを忘れていました。
  3. MitM誰かがあなたのコンピューターに対してMitM攻撃を実行している可能性があり、gitlabから自分の悪意のあるサーバーにトラフィックをリダイレクトしました。

オプション#1は、大学のgitlabページがgitlabまたはあなたの大学でホストされているかどうかがはっきりしないため、言及する価値があると考えています。 gitlabでホストされているように見えますが、必ずしもそうではありません(明らかに、リポジトリのURLで明確にすべきです)。

MitMの可能性

これらの3つすべてのオプションのうち、#3が最も可能性が低いです。この場合、MitM攻撃が成功するのは困難であるだけでなく、(攻撃者にとって)実質的なメリットがほとんどないため、通常の状況でそれを検討することすらできません。したがって、リモートのgitlabリポジトリに接続して状態の秘密を転送できるようにしようとしない限り、おそらくオプション#1または#2を扱っているだけです。

接続しているサーバーのIPアドレスを確認し、それがgitlabに属しているかどうかを調べて、MitMの可能性を確認することもできます。 Gitlabには、IPアドレスの(おそらく古い)リストがあります。

https://gitlab.com/gitlab-com/infrastructure/issues/434

ドキュメントが古くなっている可能性があるため、有効なgitlab接続でも一致の保証はありません。また、成功したMitMを実行している人が(詳細によっては)IPアドレスを偽装する可能性があるため、保証はありません。

最も可能性の高いシナリオ

いずれにせよ、MitMが(IMO)である可能性は非常に低いので、結果的に私はあなたのことをするだけです。問題があれば、すぐにわかるはずです。おそらく、あなたはgitlabサーバーに接続し、あなたが見つけようとしているファイルを見つけ、自分のものをいくつかコピーし、そしてあなたが共同作業している誰とでも、彼らがあなたの作品のコピーを受け取ったことを確認できるでしょう。もしそうなら、心配することは間違いありません。

一般的に、私の経験では、検証のためにホストキーを公開することに煩わされている組織はほとんどないようです。ホストキーは、接続したことのないサーバーの確認に使用できますが、実際にはそれほど一般的ではありません。これは主に上記で簡単に述べた理由によるものだと思います。これが一般的な攻撃ベクトルであるとは思わないため、関係するパーティがほとんど常に存在するという理由だけで、適切なサーバーに接続している場合、通常は簡単に見つけることができます。結果を確認します。結果として、私は最もよく使用されるホストキー検証を使用して、サーバーが何よりも変更されたことを検出しました。また、最初の接続でサーバーを検証するためにそれを使用することはほとんどありません。

3
Conor Mancone

TL; DR-これは何も心配する必要はないと思います。まだGitLabに連絡している場合は、私がここにいないので、誰もがここで答えることはできないでしょう。そこで働く。


個人的に、私はここにいる誰かがあなたを助けるつもりはないと思います。ここで回答を得る最も良いチャンスは、GitLabのサポートに連絡することです。そうすれば、正しい答えを得ることができます。

接続が安全かどうかについては、Semsoのコメントにあるように、心配する必要はまったくないと思います。同じことをしているのであれば、おそらくあなた意味がある場合は問題。

これについてはあまり心配する必要はありません。GitLabに引き続き懸念がある場合は、喜んでサポートさせていただきます。

1
J.J