ssh_config визуальный ключ хоста (да не) опция

Question 1

/etc/ssh/ssh_config имеет ssh_visual host key no опция. Что, что это делает?

Отредактированный: Действительно, Визуальный, не виртуальный. Однако, чем это управляет?

Question 2

VisualHostKey

If this flag is set to yes, an ASCII art representation
of the remote host key fingerprint is printed in addition
to the fingerprint string at login and for unknown host keys.
If this flag is set to no (the default), no finger‐print 
strings are printed at login and only the fingerprint string
will be printed for unknown host keys.

Question 3

Question 4

Firsly, рассмотрите это /etc/ssh/ssh_config клиентская конфигурация SSH в масштабе всей системы. Это означает что любое время Вы ssh с Вашего компьютера на удаленные серверы играет роль эта конфигурация.

По умолчанию, когда Вы соединяетесь с сервером впервые, система просит, чтобы Вы заявили, 'ожидается' ли цифровой отпечаток SSH от удаленного сервера или нет, таким образом, можно будет проверить, законен ли сервер на самом деле, или не (администратор сервера может сказать Вам, что цифровой отпечаток сервера, и Вы проверяете то, что Вы видите в клиенте SSH против того, что они говорят Вам). Большинство конечных пользователей не собирается идти символ символом для проверки цифрового отпечатка самих.

Однако существует дополнительный компонент, что мы видим с ключевым генералом, что по умолчанию не видим с верификацией по отпечатку пальца SSH. Это называют 'случайным искусством', и каждый ключ/цифровой отпечаток должен иметь уникальное случайное искусство.

Рассмотрите этот ключ, который я просто генерировал, для 'поддельного' ключа, конечно, в бионическом контейнере. Это показывает нам randomart и цифровой отпечаток:

The key fingerprint is:
SHA256:xtaA8biLm/Jktn9A/j2sty686uosrRtz0GQIFw6nP2s root@bionic
The key's randomart image is:
+---[RSA 4096]----+
|o +.  .          |
| B .   =         |
|. o o o o        |
| . +  .o o       |
|  + .o. S .      |
|   + .o+         |
|  E.* .+ o       |
| .oO.+  = =      |
|  oBO++oo*oo     |
+----[SHA256]-----+

Идея позади Визуального изображения ключа хоста состоит в том, что конечный пользователь, вероятно, не собирается идти символ символом для проверки цифрового отпечатка, и будет только полагаться на первые несколько и продержится несколько символов как 'просматривание' цифрового отпечатка. И на самом деле, из-за этого, агенты угрозы могли бы попытаться 'явиться олицетворением' путем генерации ключей, которые соответствуют первым нескольким и служат несколько символов в цифровом отпечатке, для "обманывания" людей, так как они, вероятно, не сделают познаковых верификаций по отпечатку пальца.

Это - то, где Случайная часть Искусства играет роль - различные ключи, даже если у них будут те же 'первые' и 'последние' биты, то будет иметь другой randomart для различных ключей, которые типичный пользователь смог бы определить как существенные различия (который не будет определен на самом ключе, если они не сделают познаковую идентификацию/сравнение цифрового отпечатка),

По умолчанию клиент SSH не показывает randomart удаленных ключей ( VisualHostKey no установка это - значение по умолчанию). Однако, если Вы устанавливаете VisualHostKey кому: yes и не прокомментируйте, что строка в файле конфигурации, затем система также покажет Вам randomart удаленного ключа, чтобы помочь пользователям 'проверить', что цифровой отпечаток сервера допустим.

Во-первых, пример без VisualHostKey набор к on:

$ ssh -p 22 teward@10.73.250.210
The authenticity of host '10.73.250.210 (10.73.250.210)' can't be established.
ECDSA key fingerprint is SHA256:ZDA6BYWGmr0ftUqQxCu1CsaonKqKKUM3fbMzKUlMorE.
Are you sure you want to continue connecting (yes/no)?

и теперь та же подсказка, но с показанным randomart (VisualHostKey yes):

$ ssh -p 22 teward@10.73.250.210
The authenticity of host '10.73.250.210 (10.73.250.210)' can't be established.
ECDSA key fingerprint is SHA256:ZDA6BYWGmr0ftUqQxCu1CsaonKqKKUM3fbMzKUlMorE.
+---[ECDSA 256]---+
| . ..+=          |
|  = oo o         |
|o* =o   o        |
|*+*. o.o         |
|=o=o=. .S        |
|oE.oo+.o         |
|o .oooo +        |
|=.  oo =         |
|O.    . o        |
+----[SHA256]-----+
Are you sure you want to continue connecting (yes/no)?

Намного легче определить randomart сервера, являющегося 'допустимым' по сравнению с вместо этого текстовым представлением цифрового отпечатка, нет?

(Обратите внимание, что это - 'длинное' описание того, что страница справочника указывает о той опции конфигурации и вероятно более легка понять с визуальными примерами и таким, чем сухое объяснение страницы справочника),

PerlDuck · Answer 1 · 30 October 2019 в 01:06

Посмотрите человека ssh_config:

VisualHostKey

If this flag is set to yes, an ASCII art representation
of the remote host key fingerprint is printed in addition
to the fingerprint string at login and for unknown host keys.
If this flag is set to no (the default), no finger‐print 
strings are printed at login and only the fingerprint string
will be printed for unknown host keys.

Thomas Ward · Answer 2 · 30 October 2019 в 01:06

Firsly, рассмотрите это /etc/ssh/ssh_config клиентская конфигурация SSH в масштабе всей системы. Это означает что любое время Вы ssh с Вашего компьютера на удаленные серверы играет роль эта конфигурация.

По умолчанию, когда Вы соединяетесь с сервером впервые, система просит, чтобы Вы заявили, 'ожидается' ли цифровой отпечаток SSH от удаленного сервера или нет, таким образом, можно будет проверить, законен ли сервер на самом деле, или не (администратор сервера может сказать Вам, что цифровой отпечаток сервера, и Вы проверяете то, что Вы видите в клиенте SSH против того, что они говорят Вам). Большинство конечных пользователей не собирается идти символ символом для проверки цифрового отпечатка самих.

Однако существует дополнительный компонент, что мы видим с ключевым генералом, что по умолчанию не видим с верификацией по отпечатку пальца SSH. Это называют 'случайным искусством', и каждый ключ/цифровой отпечаток должен иметь уникальное случайное искусство.

Рассмотрите этот ключ, который я просто генерировал, для 'поддельного' ключа, конечно, в бионическом контейнере. Это показывает нам randomart и цифровой отпечаток:

The key fingerprint is:
SHA256:xtaA8biLm/Jktn9A/j2sty686uosrRtz0GQIFw6nP2s root@bionic
The key's randomart image is:
+---[RSA 4096]----+
|o +.  .          |
| B .   =         |
|. o o o o        |
| . +  .o o       |
|  + .o. S .      |
|   + .o+         |
|  E.* .+ o       |
| .oO.+  = =      |
|  oBO++oo*oo     |
+----[SHA256]-----+

Идея позади Визуального изображения ключа хоста состоит в том, что конечный пользователь, вероятно, не собирается идти символ символом для проверки цифрового отпечатка, и будет только полагаться на первые несколько и продержится несколько символов как 'просматривание' цифрового отпечатка. И на самом деле, из-за этого, агенты угрозы могли бы попытаться 'явиться олицетворением' путем генерации ключей, которые соответствуют первым нескольким и служат несколько символов в цифровом отпечатке, для "обманывания" людей, так как они, вероятно, не сделают познаковых верификаций по отпечатку пальца.

Это - то, где Случайная часть Искусства играет роль - различные ключи, даже если у них будут те же 'первые' и 'последние' биты, то будет иметь другой randomart для различных ключей, которые типичный пользователь смог бы определить как существенные различия (который не будет определен на самом ключе, если они не сделают познаковую идентификацию/сравнение цифрового отпечатка),

По умолчанию клиент SSH не показывает randomart удаленных ключей ( VisualHostKey no установка это - значение по умолчанию). Однако, если Вы устанавливаете VisualHostKey кому: yes и не прокомментируйте, что строка в файле конфигурации, затем система также покажет Вам randomart удаленного ключа, чтобы помочь пользователям 'проверить', что цифровой отпечаток сервера допустим.

Во-первых, пример без VisualHostKey набор к on:

$ ssh -p 22 teward@10.73.250.210
The authenticity of host '10.73.250.210 (10.73.250.210)' can't be established.
ECDSA key fingerprint is SHA256:ZDA6BYWGmr0ftUqQxCu1CsaonKqKKUM3fbMzKUlMorE.
Are you sure you want to continue connecting (yes/no)?

и теперь та же подсказка, но с показанным randomart (VisualHostKey yes):

$ ssh -p 22 teward@10.73.250.210
The authenticity of host '10.73.250.210 (10.73.250.210)' can't be established.
ECDSA key fingerprint is SHA256:ZDA6BYWGmr0ftUqQxCu1CsaonKqKKUM3fbMzKUlMorE.
+---[ECDSA 256]---+
| . ..+=          |
|  = oo o         |
|o* =o   o        |
|*+*. o.o         |
|=o=o=. .S        |
|oE.oo+.o         |
|o .oooo +        |
|=.  oo =         |
|O.    . o        |
+----[SHA256]-----+
Are you sure you want to continue connecting (yes/no)?

Намного легче определить randomart сервера, являющегося 'допустимым' по сравнению с вместо этого текстовым представлением цифрового отпечатка, нет?

(Обратите внимание, что это - 'длинное' описание того, что страница справочника указывает о той опции конфигурации и вероятно более легка понять с визуальными примерами и таким, чем сухое объяснение страницы справочника),

ssh_config визуальный ключ хоста (да не) опция

2 ответа

Другие вопросы по тегам:

Похожие вопросы: