ssh_config визуальный ключ хоста (да нет)
/etc/ssh/ssh_config имеет опцию ssh_visual host key no. Что он делает?
Отредактировано: Действительно, Visual, а не виртуально. Тем не менее, что это за контроль?
4 ответа
См. man ssh_config:
VisualHostKeyIf this flag is set to yes, an ASCII art representation
of the remote host key fingerprint is printed in addition
to the fingerprint string at login and for unknown host keys.
If this flag is set to no (the default), no finger‐print
strings are printed at login and only the fingerprint string
will be printed for unknown host keys.
В первую очередь подумайте, что /etc/ssh/ssh_config является конфигурацией клиента SSH в системе. Это означает, что каждый раз, когда вы ssh со своего компьютера на удаленные серверы, этот конфиг входит в игру.
По умолчанию при первом подключении к серверу система просит вас указать, будет ли SSD-отпечаток с удаленного сервера «ожидается» или нет, поэтому вы можете проверить, действительно ли сервер является законным или нет (администратор сервера может сообщить вам, что такое отпечаток сервера, и вы проверяете, что вы видите в клиенте SSH против что они говорят вам). Большинство конечных пользователей не отправляются персонажем по символу, чтобы проверить сами отпечатки пальцев.
Однако есть дополнительный компонент, который мы видим с ключом gen, которого мы по умолчанию не видим с проверкой отпечатка пальца SSH , Это называется «случайным искусством», и каждый ключ / отпечаток пальца должен иметь уникальное случайное искусство.
Рассмотрим этот ключ, который я только что сгенерировал для «фиктивного» ключа, конечно, в бионом контейнере. Он показывает нам randomart client отпечаток пальца:
The key fingerprint is:
SHA256:xtaA8biLm/Jktn9A/j2sty686uosrRtz0GQIFw6nP2s root@bionic
The key's randomart image is:
+---[RSA 4096]----+
|o +. . |
| B . = |
|. o o o o |
| . + .o o |
| + .o. S . |
| + .o+ |
| E.* .+ o |
| .oO.+ = = |
| oBO++oo*oo |
+----[SHA256]-----+
Идея визуального образа ключа хоста заключается в том, что конечный пользователь, вероятно, не будет перемещаться по символу чтобы проверить отпечаток пальца, и будет полагаться только на первые несколько и последние несколько символов, как на «снятие» отпечатка пальца. И на самом деле, из-за этого участники угроз могут попытаться «выдавать себя за», создавая ключи, которые соответствуют первым и нескольким символам в отпечатке пальца, чтобы «обмануть» людей, поскольку они вряд ли будут выполнять персонаж-
Это случай, когда в игру вступает случайное произведение искусства - разные клавиши, даже если у них одинаковые «первые» и «последние» биты будут иметь разные случайные символы для разных ключей, что стандартное пользователь мог бы определить как существенную разницу (которая не была бы обнаружена на самом ключе, если только они не будут идентифицировать / сопоставлять отпечатки пальца по символу)
По умолчанию клиент SSH делает not показывает случайный ключ удаленных ключей (параметр VisualHostKey no, который по умолчанию). Однако, если вы установите VisualHostKey на yes и раскомментируете эту строку в файле конфигурации, система также покажет вам случайный ключ удаленного ключа, чтобы помочь пользователям проверить «отпечаток сервера».
Во-первых, пример без VisualHostKey установлен на on:
$ ssh -p 22 teward@10.73.250.210
The authenticity of host '10.73.250.210 (10.73.250.210)' can't be established.
ECDSA key fingerprint is SHA256:ZDA6BYWGmr0ftUqQxCu1CsaonKqKKUM3fbMzKUlMorE.
Are you sure you want to continue connecting (yes/no)?
и теперь тот же запрос, но со случайным изображением (VisualHostKey yes):
$ ssh -p 22 teward@10.73.250.210
The authenticity of host '10.73.250.210 (10.73.250.210)' can't be established.
ECDSA key fingerprint is SHA256:ZDA6BYWGmr0ftUqQxCu1CsaonKqKKUM3fbMzKUlMorE.
+---[ECDSA 256]---+
| . ..+= |
| = oo o |
|o* =o o |
|*+*. o.o |
|=o=o=. .S |
|oE.oo+.o |
|o .oooo + |
|=. oo = |
|O. . o |
+----[SHA256]-----+
Are you sure you want to continue connecting (yes/no)?
Намного легче определить случайный символ сервера, который является «действительным» вместо текстового представления отпечатка пальца, нет?
(Обратите внимание, что это «длинное» описание того, что говорится в manpage о том, что вариант конфигурации, и, вероятно, более легко понять с помощью визуальных примеров и т. д., чем объяснение сухой manpage)
См. man ssh_config:
VisualHostKeyIf this flag is set to yes, an ASCII art representation
of the remote host key fingerprint is printed in addition
to the fingerprint string at login and for unknown host keys.
If this flag is set to no (the default), no finger‐print
strings are printed at login and only the fingerprint string
will be printed for unknown host keys.
В первую очередь подумайте, что /etc/ssh/ssh_config является конфигурацией клиента SSH в системе. Это означает, что каждый раз, когда вы ssh со своего компьютера на удаленные серверы, этот конфиг входит в игру.
По умолчанию при первом подключении к серверу система просит вас указать, будет ли SSD-отпечаток с удаленного сервера «ожидается» или нет, поэтому вы можете проверить, действительно ли сервер является законным или нет (администратор сервера может сообщить вам, что такое отпечаток сервера, и вы проверяете, что вы видите в клиенте SSH против что они говорят вам). Большинство конечных пользователей не отправляются персонажем по символу, чтобы проверить сами отпечатки пальцев.
Однако есть дополнительный компонент, который мы видим с ключом gen, которого мы по умолчанию не видим с проверкой отпечатка пальца SSH , Это называется «случайным искусством», и каждый ключ / отпечаток пальца должен иметь уникальное случайное искусство.
Рассмотрим этот ключ, который я только что сгенерировал для «фиктивного» ключа, конечно, в бионом контейнере. Он показывает нам randomart client отпечаток пальца:
The key fingerprint is:
SHA256:xtaA8biLm/Jktn9A/j2sty686uosrRtz0GQIFw6nP2s root@bionic
The key's randomart image is:
+---[RSA 4096]----+
|o +. . |
| B . = |
|. o o o o |
| . + .o o |
| + .o. S . |
| + .o+ |
| E.* .+ o |
| .oO.+ = = |
| oBO++oo*oo |
+----[SHA256]-----+
Идея визуального образа ключа хоста заключается в том, что конечный пользователь, вероятно, не будет перемещаться по символу чтобы проверить отпечаток пальца, и будет полагаться только на первые несколько и последние несколько символов, как на «снятие» отпечатка пальца. И на самом деле, из-за этого участники угроз могут попытаться «выдавать себя за», создавая ключи, которые соответствуют первым и нескольким символам в отпечатке пальца, чтобы «обмануть» людей, поскольку они вряд ли будут выполнять персонаж-
Это случай, когда в игру вступает случайное произведение искусства - разные клавиши, даже если у них одинаковые «первые» и «последние» биты будут иметь разные случайные символы для разных ключей, что стандартное пользователь мог бы определить как существенную разницу (которая не была бы обнаружена на самом ключе, если только они не будут идентифицировать / сопоставлять отпечатки пальца по символу)
По умолчанию клиент SSH делает not показывает случайный ключ удаленных ключей (параметр VisualHostKey no, который по умолчанию). Однако, если вы установите VisualHostKey на yes и раскомментируете эту строку в файле конфигурации, система также покажет вам случайный ключ удаленного ключа, чтобы помочь пользователям проверить «отпечаток сервера».
Во-первых, пример без VisualHostKey установлен на on:
$ ssh -p 22 teward@10.73.250.210
The authenticity of host '10.73.250.210 (10.73.250.210)' can't be established.
ECDSA key fingerprint is SHA256:ZDA6BYWGmr0ftUqQxCu1CsaonKqKKUM3fbMzKUlMorE.
Are you sure you want to continue connecting (yes/no)?
и теперь тот же запрос, но со случайным изображением (VisualHostKey yes):
$ ssh -p 22 teward@10.73.250.210
The authenticity of host '10.73.250.210 (10.73.250.210)' can't be established.
ECDSA key fingerprint is SHA256:ZDA6BYWGmr0ftUqQxCu1CsaonKqKKUM3fbMzKUlMorE.
+---[ECDSA 256]---+
| . ..+= |
| = oo o |
|o* =o o |
|*+*. o.o |
|=o=o=. .S |
|oE.oo+.o |
|o .oooo + |
|=. oo = |
|O. . o |
+----[SHA256]-----+
Are you sure you want to continue connecting (yes/no)?
Намного легче определить случайный символ сервера, который является «действительным» вместо текстового представления отпечатка пальца, нет?
(Обратите внимание, что это «длинное» описание того, что говорится в manpage о том, что вариант конфигурации, и, вероятно, более легко понять с помощью визуальных примеров и т. д., чем объяснение сухой manpage)