2012-05-05 23:39:28 +0000 2012-05-05 23:39:28 +0000
84
84

SSH: Подлинность хоста не может быть установлена

Что означает это сообщение? Является ли это потенциальной проблемой? Не является ли канал небезопасным?

Или это просто сообщение по умолчанию, которое always отображается при подключении к новому серверу?

Я привык видеть это сообщение при использовании SSH в прошлом: Я всегда вводил свой логин обычным способом, и я чувствовал себя прекрасно, потому что не пользовался закрытыми/открытыми ключами (что гораздо более безопасно, чем короткий пароль). Но на этот раз я установил открытый ключ с помощью ssh для моего соединения с bitbucket, но я всё равно получил сообщение. Я знаю, что запрос парольной фразы в конце - это другая, дополнительная мера безопасности, для расшифровки закрытого ключа.

Я надеюсь, что кто-нибудь сможет дать хорошее объяснение тому, что подразумевается под этим сообщением “аутентичность не может быть установлена”. 

The authenticity of host 'bitbucket.org (207.223.240.181)' can't be established.

RSA key fingerprint is 97:8c:1b:f2:6f:14:6b:5c:3b:ec:aa:46:46:74:7c:40.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'bitbucket.org,207.223.240.181' (RSA) to the list of
known hosts.
Enter passphrase for key '/c/Users/Steven/.ssh/id_rsa':
Источник

Ответы (7)

71
71
71
2012-05-06 00:23:59 +0000

Это говорит вам о том, что вы никогда раньше не подключались к этому серверу. Если вы этого ожидали, то это совершенно нормально. Если у вас паранойя, проверьте контрольную сумму/отпечатки пальцев ключа, используя альтернативный канал. (Но обратите внимание, что кто-то, кто может перенаправить ваше ssh соединение, также может перенаправить сессию браузера)

Если вы подключались к этому серверу раньше с этой установки ssh, то либо сервер был переконфигурирован с новым ключом, либо кто-то подделывает идентификацию сервера. В связи с серьезностью атаки man-in-the-middle, это предупреждает вас о возможности.

В любом случае, у вас есть безопасный зашифрованный канал на somebody. Никто без закрытого ключа, соответствующего отпечатку 97:8c:1b:f2:6f:14:6b:5c:3b:ec:aa:46:46:74:7c:40, не может декодировать то, что вы отправляете.

Ключ, который вы используете для аутентификации, не связан… вы не захотите отправлять аутентификационную информацию на мошеннический сервер, который может ее украсть, и поэтому вы не должны ожидать никаких изменений в зависимости от того, будете ли вы использовать парольную фразу или закрытый ключ для входа в систему. Вы просто еще не зашли так далеко.
Источник
23
23
23
2016-08-10 11:42:38 +0000

Допустим, вы встретитесь с кем-то, чтобы обменяться деловыми секретами. Ваш советник скажет вам, что вы никогда раньше не встречались с этим человеком, и что это может быть самозванец. Более того, на следующих встречах с ним твой советник больше не будет тебя предупреждать. Вот что значит это сообщение. Человек является удаленным сервером, а твой советник - ssh-клиентом.

Я не думаю, что это паранойя - перепроверять личность человека перед тем, как делиться с ним секретами. Например, вы можете открыть веб-страницу с ее фотографией и сравнить ее с лицом перед вами. Или проверьте её удостоверение личности.

Для bitbucket-сервера вы можете использовать другой, более доверенный компьютер и получить изображение его лица с него, а затем сравнить его с тем, что вы получаете в компьютере, который вы используете сейчас. Используйте: 

ssh-keyscan -t rsa bitbucket.org | ssh-keygen -lv -f -

Если faces совпадает, вы можете добавить ключ к файлу, например, ~/.ssh/known_hosts (стандартное расположение во многих дистрибутивах Linux) с: 

ssh-keyscan -t rsa -H bitbucket.org >> ~/.ssh/known_hosts

, и ssh-клиент не будет предупреждать вас, так как он уже знает her face. Он будет сравнивать the faces при каждом соединении. Это очень важно. В случае самозванца (например, man-in-the-middle атака), ssh-клиент отклонит соединение, так как face будет изменен.
Источник
5
5
5
2014-07-16 15:44:43 +0000

Мне просто нужно было создать текстовый файл known_hosts в ~/.ssh 

sudo vim ~/.ssh/known_hosts
sudo chmod 777 ~/.ssh/known_hosts

После этого он добавил хост, и я больше никогда не видел сообщения.
Источник
2
2
2
2014-12-16 08:23:53 +0000

Есть еще один простой способ Просто коснитесь “config” файла в /root/.ssh и добавьте параметр StrictHostKeyChecking no В следующий раз при входе на сервер, они rsa ключ будет добавлен в known_hosts и не будут просить “да” для подтверждения подлинности.
Источник
1
1
1
2012-05-05 23:52:02 +0000

Это сообщение просто SSH говорит вам, что он никогда раньше не видел этого конкретного ключа хоста, поэтому он не может по-настоящему проверить, что вы подключаетесь к тому хосту, которым вы себя считаете. Когда вы говорите “Да”, оно помещает ключ ssh в ваш файл known_hosts, а затем при последующих соединениях сравнивает ключ, который он получает от хоста с ключом, который находится в файле known_hosts.

Была соответствующая статья о переполнении стека, показывающая, как отключить это предупреждение, https://stackoverflow.com/questions/3663895/ssh-the-authenticity-of-host-hostname-cant-be-established .
Источник
0
0
0
2017-11-04 13:51:11 +0000

Кроме уже данных ответов (вы никогда не подключались к этому хосту раньше), существует также явная вероятность того, что вы никогда не подключались с текущего хоста раньше (к этому хосту); это только психологически отличается; вы думаете, что вы подключаетесь с хоста A (к B), в то время как на самом деле вы пытаетесь подключиться с хоста X (к B). Это может случиться, например, когда вы сначала ssh-ed с A на X, а затем с того же самого терминала пытаетесь ssh на B, думая, что вы все еще на A.
Источник
0
0
0
2018-05-11 11:03:59 +0000

В моем случае пароль за вычетом логина не работал из-за прав доступа к домашнему каталогу, поскольку я изменил настройки по умолчанию. Наконец, вот что мне помогло. Мои разрешения для домашнего каталога

/home/username 

drwxr----x. 18 username groupname 4096 May 11 11:52 username

/home/username/.ssh 

268823097 drwx------ 2 username groupname 29 May 11 11:53 .ssh

/home/username/.ssh/authorized_keys 

-rw-r----- 1 username groupname 402 May 11 11:53 authorized_keys
Источник

Похожие вопросы

19
Как сказать git'у, какой закрытый ключ использовать? 702
12
macOS продолжает спрашивать мою парольную фразу ssh с тех пор, как я перешёл в Sierra. 607
16
Туннель SSH через несколько прыжков 354
13
Как исправить предупреждение о ключе ECDSA хоста 315
3
Как отформатировать диск как EXT4 в Windows 7? 24