На моем новом сервере уже есть файлы ssh_host_ecdsa_key и ssh_host_rsa_key, это нормально?
У меня есть новый выделенный сервер, к которому я в настоящее время обращаюсь с помощью имени пользователя и пароля через ssh. Я еще не настроил ключ ssh. Я просто смотрю на это сейчас.
Итак, это новый сервер с недавно установленной Ubuntu, это нормально, что в каталоге / etc / ssh / уже есть файлы ssh_host_ecdsa_key и ssh_host_rsa_key? Я также могу увидеть файлы .pub для них.
Означает ли это, что тот, кто настроил сервер, может получить к нему доступ с помощью этих файлов ключей? Я хочу быть единственным человеком, который может войти на мой сервер.
Я не опытный пользователь Linux, все еще пытаюсь учиться.
Благодаря
2 ответа
Ключи генерируются автоматически при установке openssh-сервера.
Чтобы вручную создать новый набор ключей,
Сначала удалите старые ключи хоста ssh. На сервере
sudo rm -f /etc/ssh/ssh_host_*
Затем создайте новые ключи
sudo dpkg-reconfigure openssh-server
Вы увидите
Создание ключа SSH2 RSA; это может занять некоторое время ... Создание SSH2 DSA-ключа; это может занять некоторое время ... Перезапуск сервера OpenBSD Secure Shell: sshd.
Ваши клиенты могут получить сообщение при входе в систему:
@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ ВНИМАНИЕ: УДАЛЕННАЯ ИДЕНТИФИКАЦИЯ ХОЗЯЙКА ИЗМЕНИЛАСЬ! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@ ВОЗМОЖНО, ЧТО-то кто-то делает противное! Кто-то может подслушивать вас прямо сейчас (атака «человек посередине»)! Также возможно, что ключ хоста RSA был только что изменен.
...
Если это так, пусть клиенты запустят
ssh-keygen -R hostname
, где hostname - это имя сервера.
Насколько я понимаю, вы арендуете некоторые аппаратные средства и связанные с ними утилиты (питание, сетевое подключение, возможно, резервное копирование). Хостинг-провайдер имеет физический доступ к вашему оборудованию. Поэтому он может в любое время прочитать и даже изменить ваши данные. Вы должны доверять им, чтобы не использовать эту способность. Единственная альтернатива - сделать хостинг самостоятельно.
Обычно хостинг-провайдеры предоставляют базовую установку программного обеспечения, включая сервер SSH (поэтому у вас есть возможность войти в систему - в зависимости от услуги это может быть или не быть вашим единственным способом входа в систему на начальном этапе). Закрытый ключ сервера SSH генерируется автоматически, когда установлен пакет openssh-server, поэтому обычно вы видите его там, когда смотрите. Тот факт, что хостинг-провайдер запустил генерацию ключей, не дает им никакого дополнительного доступа к вашему серверу. Если у вас был какой-то другой способ войти в систему и установить пакет openssh-server вручную, то вы сгенерировали ключ самостоятельно, даже если не понимали этого.
Ключ сервера SSH аутентифицирует сервер, а не пользователей. Это не позволяет пользователям входить в систему. Что позволяет пользователям входить в систему, так это если их открытый ключ указан в файле .ssh/authorized_keys в их домашнем каталоге; это всегда сторона, которая имеет закрытый ключ, который аутентифицирован, и сторона, которая имеет открытый ключ, который выполняет аутентификацию. Пара ключей SSH-сервера позволяет вам узнать, пытается ли злоумышленник заставить вас войти на свой сервер вместо вашего или попытаться перехватить SSH-соединение между вашим клиентом и вашим сервером. Для получения дополнительной информации прочитайте криптографию с открытым ключом и , как SSH использует ее .