https://hogyanok.com Linux Debian SSH ujjlenyomat (fingerprint) információk lekérése

SSH ujjlenyomat (fingerprint) információk lekérése

468
0
Megosztás

Amikor csatlakozol a szerverhez ahova még kroábban nem csatlakoztál ssh-n keresztül akkor látni fogsz valami hasonló üzenetet:

root@vps:~# ssh root@vps
The authenticity of host 'root@vps (xxx.xxx.xxx.xxx)' can't be established.
RSA key fingerprint is 23:a4:c6:02:24:1f:25:af:aa:c2:cb:87:1d:93:2e:d5.
Are you sure you want to continue connecting (yes/no)?

Általában mindenki nyom egy entert és megadja a jelszavát. ezzel elfogadja a szerver titkosítását és a szerver elküldi az aktuális titkosító kulcsot a szerverhez. Ezt a kulcsot azonban nem biztos, hogy a szerver küldte, így lehet, hogy valaki bele tud nézni a kapcsolatunkba.
Ahhoz, hogy biztosak legyünk, hogy senki nem “hallgatózik” a csatornánkon össze kell hasonlítanunk a 2 ujjlenyomatot. De hogyan is kapjuk meg ezt az ujjlenyomatot?

ssh-keygen -lf /etc/ssh/ssh_host_rsa_key.pub

Ez a parancs mondja mutatja meg a titkosításhoz tartozó ujjlenyomatot.
Általában az alábbi könyvtárban találhatók a kulcsok /etc/ssh/ vagy hasonlóan elnevezett könyvtárban és fájlnéven.
Így tudunk rákeresni:

root@vps:~# ls /etc/ssh/*key*
/etc/ssh/ssh_host_dsa_key      /etc/ssh/ssh_host_key.pub
/etc/ssh/ssh_host_dsa_key.pub  /etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_key          /etc/ssh/ssh_host_rsa_key.pub

Ezen a szerveren 3 kulcs található, amelyiknek nincs kiterjesztése azok a privát kulcsok és a publikus kulcsok azok melynek kiterjesztése .pub. Csak a root felhasználó tudja olvasni a privát kulcsokat, de publikus kulcsokat mindenki tudja olvasni. A fenti üzenet szerinte az alábbi kulcsot keressük:

root@vps:~# ssh-keygen -lf /etc/ssh/ssh_host_rsa_key.pub 
2048 23:a4:c6:02:24:1f:25:af:aa:c2:cb:87:1d:93:2e:d5 /etc/ssh/ssh_host_rsa_key.pub (RSA

A válasz 3 dolgot mutat meg nekünk:

  1. (2048) bit hosszú a kulcsunk
  2. (23:a4:c6:02:24:1f:25:af:aa:c2:cb:87:1d:93:2e:d5) az ujjlenyomatunk
  3. /etc/ssh/ssh_host_rsa_key.pub a fájlneve a kulcsunknak.

Így egy egyszerű módszerrel ellenőriztük az ujjlenyomatot, úgy hogy csatlakoztunk a szerverhez és ssh-keygen paranccsal lekérdeztük az ujjlenyomatot. Ez a módszer nem túl biztonságos, mert a lehallgató aki hamis ujjlenyomatot szeretne nekünk küldeni egyszerűen meg tudja változtatni a visszakapott ujjlenyomatot is, így mi elhisszük, hogy jó biztonságos kapcsolatot hoztunk létre. A legbiztonságosabb módszer az, ha megkérdezzük az ujjlenyomatot attól a rendszergazdától vagy üzemeltetőtől, aki a kulcsot generálta.