Perché ho due voci per server nel file known_hosts?

9

Sul mio mac ho 1 voce per server nel ~/.ssh/known_hostsfile, in Ubuntu ho notato che ce ne sono due creati per server. Perché?

Il formato è:

|1|wwwwwwwwwwwwwww=|wwwwwwwwww= ecdsa-sha2-nistp256 AAAAAAAAAA+AAAAA=
|1|vvvvvvvvvvvvvvv=|vvvvvvvvvv= ecdsa-sha2-nistp256 AAAAAAAAAA+AAAAA=

In entrambe le voci, la prima sezione prima di ecdsa-sha2-nistp256 è diversa. Dopo ecdsa-sha2-nistp256 è lo stesso (immagino la chiave del pub).

SSH nel server A e da lì SSH nel server B. Non sto aggiungendo manualmente le voci, vedo l'avviso Ubuntu e consento che venga aggiunto al file known_hosts.

Ho cancellato il file known_hosts per questo test.

Ho un ragionevole dubbio che la voce aggiuntiva sia per l'indirizzo ipv6, anche se non l'ho usata per connettermi. Ubuntu lo aggiunge automaticamente se disponibile?

ssh  openssh 
Come stai aggiungendo voci al file? Forse accedi al server con più utenti? Si prega di modificare la tua domanda e includere i comandi specifici utilizzati per creare le voci.
terdon,
@terdon Non sto aggiungendo voci manualmente. Ho semplicemente avviato il server e controllo l'avviso e lo accetto.
Se capisco la manpage ssh , sezione "SSH_KNOWN_HOSTS FILE FORMAT", il primo valore è il nome host con hash ... ma è ancora più confuso, dal momento che non dovrebbero avere la stessa chiave pub.
PythoNic,
@PythoNic L'ho letto anche io e sono diventato più confuso. Ma sto testando ssh dal server remoto. Quindi fondamentalmente ho SSH nel server A, e SSH da lì al server B. Potrebbe essere questa la causa? O potrebbe essere voce ipv6? Sono veramente confuso.

Risposte:

11

Hai due voci perché una è per dominio e l'altra per indirizzo IP, quindi il tuo esempio:

|1|wwwwwwwwwwwwwww=|wwwwwwwwww= ecdsa-sha2-nistp256 AAAAAAAAAA+AAAAA=
|1|vvvvvvvvvvvvvvv=|vvvvvvvvvv= ecdsa-sha2-nistp256 AAAAAAAAAA+AAAAA=

potrebbe in effetti leggere:

[example.com] ecdsa-sha2-nistp256 AAAAAAAAAA+AAAAA=
[192.168.6.8] ecdsa-sha2-nistp256 AAAAAAAAAA+AAAAA=

Se disabiliti l'hash dell'host noto (aggiungi HashKnownHosts noal tuo file ~ / .ssh / config) puoi vedere cosa sta succedendo, ma su un file known_host non con hash, sia il dominio che l'indirizzo IP possono apparire sulla stessa linea, quindi sembrerebbe così:

[example.com],[192.168.6.8] ecdsa-sha2-nistp256 AAAAAAAAAA+AAAAA=

C'è un po 'più di una discussione sul formato di file known_hosts qui.

Peter Ryan
fonte
1

Dovresti avere una chiave per ogni server a cui ti sei connesso. O ti sei connesso a due server in diversi momenti o la chiave sul tuo singolo server è stata modificata.

Quando ti connetti per la prima volta a un server SSH ti viene chiesto se desideri aggiungere la chiave agli host conosciuti.

Sembra qualcosa del genere:

inserisci qui la descrizione dell'immagine

Quindi hai accettato le chiavi con il tuo cliente ad un certo punto nel tempo.

Con ogni connessione successiva, quando ci si connette al server le chiavi vengono confrontate e si riceve un avviso se vengono modificate.

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ ATTENZIONE: L'IDENTIFICAZIONE DELL'HOST REMOTO È CAMBIATA! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ È POSSIBILE CHE QUALCUNO STA FACENDO QUALCOSA NASTY! Qualcuno potrebbe averti intercettato in questo momento (attacco man-in-the-middle)! È anche possibile che la chiave host RSA sia stata appena modificata. L'impronta digitale per la chiave RSA inviata dall'host remoto è f2: 92: 1d: da: 81: 2a: d7: 16: 0a: 48: f0: 43: 20: 1c: f4: b5. Si prega di contattare l'amministratore di sistema. Aggiungi la chiave host corretta in /home/bodhi/.ssh/known_hosts per eliminare questo messaggio. Chiave offensiva in /home/bodhi/.ssh/known_hosts:1

Vedi: http://bodhizazen.com/Tutorials/SSH_overview#Security

Pantera
fonte
1
Ho rimosso il file known_hosts. Sono entrato nel server. Vedo l'avvertimento e gli consento di aggiungere la voce a known_hosts. Crea due voci.
Incollare il file degli host noti e acquisire una schermata o mostrare l'output.
Pantera,
Pantera
Potrebbe essere l'indirizzo ipv6?
Non posso dire da quel poco che hai pubblicato.
Pantera
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.