サーバーの公開鍵の変更に関する警告に注意してください。このような警告が表示された場合は、「いいえ」と言って、帯域外の方法で公開鍵のフィンガープリントを確認してください。何らかの方法で公開鍵の指紋を確認していない限り、「はい」と言わないでください。
新しいホストに接続しない場合は、設定できます
StrictHostKeyChecking yes
あなたの~/.ssh/config構成ファイル(または/etc/ssh/ssh_config)。ただし、新しいマシンに頻繁に接続する場合、これは煩わしいかもしれません。
Ssh manページのセクション VERIFYING Host KEYS を読んでください。
このサイトの RSAフィンガープリントはMITM攻撃からどのように保護されますか? .
認証には、パスワードではなくSSH秘密鍵を使用してください。
常に公開鍵で認証します(なお、/etc/ssh/sshd_configでパスワード認証を完全にオフにしてください)。これにより、OpenSSHに対するMITM攻撃が阻止されます。
これは、より詳細な短い説明です: http://www.gremwell.com/ssh-mitm-public-key-authentication
MITMでは通常、攻撃者isは実サーバーのふりをします。対応する秘密鍵がないため、攻撃者は実サーバーの公開鍵を渡すことはありません。したがって、「MITM攻撃者がサーバーのホストキー検証を迂回して接続を確立するようにピアをだましてしまったと想定していますは、クライアントが攻撃者で終了したSSH接続を確立したことを意味します。次に、攻撃者は実サーバーへの接続を確立し、独自の公開鍵を提示します。
攻撃者は単純にそれを渡さないため、セッションIDは完全に赤いニシンです。 1つの正当なクライアント接続を確立し、クライアントの接続を終了し、2つの接続間の入出力をプロキシします。