コンピュータから新しいSSHサーバーに接続するたびに、次のメッセージが表示されます。
The authenticity of Host '[censored]:censored ([0.0.0.0]:censored)' can't be established.
RSA key fingerprint is SHA256:censored.
Are you sure you want to continue connecting (yes/no)?
なぜSSHは私にそれを尋ねますか?
ランダムなSSHサーバーに接続する危険性はありますか?
それとも、接続しているサーバーがハッキングされていないことを確認するためだけのものですか?
それは前にこのホストに接続されたことがないのでそれはあなたに尋ねています。
あなたが安全な環境にいるなら、あなたはリモートホストの指紋を知っているでしょう、そして最初の接続でそれを比較するでしょう - 指紋があなたがそれがあるべきであると知っているものと一致するなら、そして素晴らしいです。安全性の低い環境にいる場合は、最初の接続で受け入れることができます。
「はい、そのHostキーを信頼し、それをそのhostname/IPに関連付けたい」と言ったら、SSHクライアントは覚えているでしょう。これはあなたのためです...何らかの理由(再インストール/新しいホストキー/新しいマシン/中央の人)でキーが一致しない場合その後の接続では、以下のような警告が表示されます。
$ ssh baloo
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE Host IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a Host key has just been changed.
The fingerprint for the ECDSA key sent by the remote Host is
SHA256:Su0uy/4BcRcpmyLfxO9ndlcda52F8uct6yWNp7Sa92M.
Please contact your system administrator.
Add correct Host key in /home/attie/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /home/attie/.ssh/known_hosts:65
remove with:
ssh-keygen -f "/home/attie/.ssh/known_hosts" -R baloo
ECDSA Host key for baloo has changed and you have requested strict checking.
Host key verification failed.
この場合、リモートホストが本当に変更されたことを知っていれば、次に進むことができます。フィンガープリントが正しいことをおそらく確認しています。
自信がない場合、またはリモートホストが変更されてはいけないことがわかっている場合は、潜在的な攻撃につながる可能性があります。
このメッセージが表示されたら、SSHは単に「これまでこのコンピュータを見たことがないので、それがだれだと確信できないのですが、それを信頼しますか?」と言っているだけです。どの時点であなたはそれを信頼していると言うことができ、将来あなたのコンピュータは覚えていて二度とあなたに尋ねないでしょう。
理想的にはそれを信頼するためにあなたは手動でサーバー上のキーと提供されたキーを比較するべきです(あなたがそれが属すると信じる人が実際に公開キーを生成できることをチェックすることによってGPGキーを信頼するように)。実際には、人々はこれには悩まないでください(少なくとも私の知る限り)。
実際の利点は、その後サーバーに接続するたびに得られます。 SSHが、あなたがすでに信頼しているサーバーが同じサーバーではないと文句を言うのであれば、あなたはMiTM攻撃の犠牲者である可能性があります。
あなたが自信を持っているネットワーク上にいるなら、Man in The Middle攻撃が行われていないのであれば、あなたがコンピュータに接続するのはこれが初めてです。 (ただし、政府の最高機密任務に取り組んでいる場合は、接続する前にシステム管理者に指紋の確認を依頼してください)