SSH: impossibile stabilire l'autenticità dell'host <host>

Cosa significa questo messaggio? È un potenziale problema? Il canale non è sicuro?

O è semplicemente un messaggio predefinito che viene sempre visualizzato quando ci si connette a un nuovo server?

Sono abituato a vedere questo messaggio quando ho usato SSH in passato: ho sempre inserito il mio login con una password nel modo normale, e mi sono sentito bene perché non stavo usando chiavi private / pubbliche (che è molto più sicuro di una breve password). Ma questa volta ho impostato una chiave pubblica con ssh per la mia connessione a bitbucket ma ho ancora ricevuto il messaggio. Sono consapevole che il prompt passphrase alla fine è una misura di sicurezza aggiuntiva diversa per la decrittografia della chiave privata.

Spero che qualcuno possa dare una bella spiegazione di cosa si intende con questo messaggio "l'autenticità non può essere stabilita".

The authenticity of host 'bitbucket.org (207.223.240.181)' can't be established.

RSA key fingerprint is 97:8c:1b:f2:6f:14:6b:5c:3b:ec:aa:46:46:74:7c:40.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'bitbucket.org,207.223.240.181' (RSA) to the list of
known hosts.
Enter passphrase for key '/c/Users/Steven/.ssh/id_rsa':

Ti sta dicendo che non ti sei mai connesso a questo server prima d'ora. Se te lo aspettavi, è perfettamente normale. Se sei paranoico, verifica il checksum / l'impronta digitale della chiave usando un canale alternativo. (Ma nota che qualcuno che può reindirizzare la tua connessione ssh può anche reindirizzare una sessione del browser web.)

Se ti sei già connesso a questo server da questa installazione di ssh, allora il server è stato riconfigurato con una nuova chiave o qualcuno sta falsificando l'identità del server. A causa della gravità di un attacco man-in-the-middle, ti avverte della possibilità.

Ad ogni modo, hai un canale crittografato sicuro per qualcuno . Nessuno senza la chiave privata corrispondente all'impronta digitale 97:8c:1b:f2:6f:14:6b:5c:3b:ec:aa:46:46:74:7c:40può decodificare ciò che si invia.

La chiave che usi per autenticarti non è correlata ... non vorrai inviare informazioni di autenticazione a un server fraudolento che potrebbe rubarle, quindi non dovresti aspettarti cambiamenti a seconda che tu abbia intenzione di usare una passphrase o chiave privata per accedere. Semplicemente non sei ancora arrivato così lontano nel processo.

Diciamo che incontri qualcuno per scambiare alcuni segreti aziendali. Il tuo consulente ti dice che non hai mai incontrato quella persona prima e che può essere un impostore. Inoltre, per i prossimi incontri con lui, il tuo consulente non ti avvertirà più. Questo è ciò che significa il messaggio. La persona è il server remoto e il tuo advisor è il client ssh.

Non credo sia paranoico ricontrollare l'identità della persona prima di condividere i segreti con lei. Ad esempio potresti aprire una pagina web con una sua foto e confrontarla con la faccia di fronte a te. O controlla la sua carta d'identità.

Per il server bitbucket, è possibile utilizzare un computer diverso e più affidabile e ottenere l' immagine del suo volto da esso, quindi confrontarlo con quello che si ottiene nel computer che si sta utilizzando ora. Uso:

 ssh-keyscan -t rsa bitbucket.org | ssh-keygen -lv -f -

Se i volti corrispondono, è possibile aggiungere la chiave al file, ad esempio ~/.ssh/known_hosts(posizione standard in molte distribuzioni Linux) con:

ssh-keyscan -t rsa -H bitbucket.org >> ~/.ssh/known_hosts

e il client SSH non ti avvertirà perché conosce già la sua faccia . Confronterà i volti ogni volta che ti connetti. Questo è molto importante. Nel caso di un impostore (ad esempio un attacco man-in-the-middle), il client ssh rifiuterà la connessione perché la faccia sarà cambiata.

Ho semplicemente dovuto creare il known_hostsfile di testo in~/.ssh

sudo vim ~/.ssh/known_hosts
sudo chmod 777 ~/.ssh/known_hosts

Dopo averlo fatto, ha aggiunto l'host e non ho più visto il messaggio.

Esiste un altro modo semplice Basta toccare un file "config" in /root/.ssh e aggiungere il parametro StrictHostKeyChecking no La prossima volta quando si accede a un server, la chiave rsa verrà aggiunta a known_hosts e non chiederà "sì" per conferma di autenticità

Questo messaggio è solo SSH che ti dice che non ha mai visto questa particolare chiave host prima, quindi non è in grado di verificare veramente che ti stai connettendo all'host che pensi di essere. Quando dici "Sì", inserisce la chiave ssh nel tuo file known_hosts, quindi nelle connessioni successive confronterà la chiave che riceve dall'host con quella nel file known_hosts.

C'era un articolo correlato su overflow dello stack che mostrava come disabilitare questo avviso, https://stackoverflow.com/questions/3663895/ssh-the-authenticity-of-host-hostname-cant-be-established .

A parte le risposte già fornite (non ti sei mai connesso a questo host prima), c'è anche la netta possibilità che tu non ti sia mai connesso DALL'host corrente prima (a quell'host); questo è solo psicologicamente diverso; pensi di connetterti dall'host A (a B), mentre in realtà stai provando a connetterti dall'host X (a B). Questo può accadere, ad esempio, quando hai prima scritto da A a X e poi dallo stesso terminale prova a passare da S a B pensando di essere ancora su A.

Nel mio caso, meno login non funzionava a causa delle autorizzazioni della mia directory home perché ho modificato le impostazioni predefinite. Infine, ecco cosa ha funzionato per me. le autorizzazioni della mia directory home sono

/ Home / nomeutente

drwxr----x. 18 username     groupname  4096 May 11 11:52 username

/home/username/.ssh

268823097 drwx------   2 username groupname     29 May 11 11:53 .ssh

/home/nomeutente/.ssh/authorized_keys

-rw-r----- 1 username groupname 402 May 11 11:53 authorized_keys