V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
ghostheaven
V2EX  ›  问与答

大家怎么确认 ssh 服务器指纹的

  •  
  •   ghostheaven · 2017-04-27 19:58:59 +08:00 · 2958 次点击
    这是一个创建于 2771 天前的主题,其中的信息可能已经有所发展或是发生改变。
    第一次连接的时候直接按 y 接受的,但是这样应该不安全。
    21 条回复    2017-04-28 18:22:08 +08:00
    winterbells
        1
    winterbells  
       2017-04-27 20:04:59 +08:00 via Android
    yes
    nutting
        2
    nutting  
       2017-04-27 20:11:00 +08:00 via Android
    什么意思,不按 yes 能连上吗
    mringg
        3
    mringg  
       2017-04-27 20:12:29 +08:00 via iPhone
    这个意思是校对下再同意?
    ghostheaven
        4
    ghostheaven  
    OP
       2017-04-27 20:12:29 +08:00 via Android
    @nutting 我的问题是怎样确认显示的指纹不是伪造的
    ghostheaven
        5
    ghostheaven  
    OP
       2017-04-27 20:14:38 +08:00 via Android
    @mringg 对啊,不确认就连不上,连上了才能知道真正的指纹,这不就死循环了
    Showfom
        6
    Showfom  
       2017-04-27 20:15:05 +08:00 via iPhone
    @ghostheaven 变了以后不久连不上了
    ghostheaven
        7
    ghostheaven  
    OP
       2017-04-27 20:16:47 +08:00 via Android
    @Showfom 问题是第一次连接的时候不知道指纹是不是对的
    blankme
        8
    blankme  
       2017-04-27 20:18:13 +08:00 via Android
    自己的机器面对面登录
    云服务器从服务商提供的 vnc 登录
    ghostheaven
        9
    ghostheaven  
    OP
       2017-04-27 20:19:25 +08:00 via Android
    @blankme 嗯。但还有 github 这种怎么办
    DoraJDJ
        10
    DoraJDJ  
       2017-04-27 20:22:25 +08:00   ❤️ 1
    mcone
        11
    mcone  
       2017-04-27 21:21:46 +08:00
    之前我也有过楼主这种困惑,只要你首次 ssh 登陆前,肉身登陆 shell (或者用 vps 提供商的伪·人肉 shell )看一眼就行了

    至于以上都无法提供的其他服务商,靠谱点的你找找都会找到的,至少我接触过的几家靠谱的都有嘿嘿
    msg7086
        12
    msg7086  
       2017-04-27 23:18:53 +08:00
    你可以假设劫持是小概率事件。然后你第一次连接就被劫持的概率足够小。那么就可以无视第一次连接验证。
    如果你假设劫持是大概率事件……呃,那就只能 console access 上去看指纹了。
    Showfom
        13
    Showfom  
       2017-04-28 00:55:02 +08:00 via iPhone
    @ghostheaven 你可以 console 上去先看一下啊
    hjc4869
        14
    hjc4869  
       2017-04-28 01:28:36 +08:00
    这种事情都该 IDC 提供的,包括 Windows VPS 的 RDP 证书指纹也是。
    hjc4869
        15
    hjc4869  
       2017-04-28 01:32:11 +08:00
    比如 Azure 的
    Windows:

    Linux:
    BOYPT
        16
    BOYPT  
       2017-04-28 09:07:20 +08:00
    指纹确认的安全只能由其他安全途径确认。
    tinyproxy
        17
    tinyproxy  
       2017-04-28 09:55:18 +08:00 via iPhone
    你要真有这需要,上 dns 的 SSHFP 记录,担心 dns 一块被劫持了,上证书,https://www.digitalocean.com/community/tutorials/how-to-create-an-ssh-ca-to-validate-hosts-and-clients-with-ubuntu
    只是说,这部分工作的开销是不是值得?
    paw
        18
    paw  
       2017-04-28 12:10:43 +08:00
    GCE 会在 web 的 shell 里面提供
    ghostheaven
        19
    ghostheaven  
    OP
       2017-04-28 16:40:33 +08:00 via Android
    @msg7086 @tinyproxy @DoraJDJ @blankme @BOYPT 补充问题,指纹有可能被中间人伪造吗?比如提前请求下 github,然后伪造一个完全一样的指纹。
    BOYPT
        20
    BOYPT  
       2017-04-28 16:45:55 +08:00
    @ghostheaven #19 指纹其实就是通信公钥的 sha 哈希值,如果你能制造一个散列相同的碰撞,就可以完成中间人攻击。
    msg7086
        21
    msg7086  
       2017-04-28 18:22:08 +08:00
    @ghostheaven 当然有可能。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1028 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 168ms · UTC 20:29 · PVG 04:29 · LAX 12:29 · JFK 15:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.