রিমোট হোস্ট দ্বারা প্রেরিত ইসিডিএসএ কীটির জন্য ফিঙ্গারপ্রিন্ট পরীক্ষা করুন [বন্ধ]


24

আমি একটি সার্ভারে ssh করার চেষ্টা করার সময় আমি সুপরিচিত সতর্কতা বার্তাটি পেয়েছি:

$ ssh whateverhost
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
SHA256:xxxxxxxxxxxxxxxxxxxxxxxxxxx/xxxxxxxxx/xxxxxxx.
Please contact your system administrator.
Add correct host key in /home/user/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /home/user/.ssh/known_hosts:10
ECDSA host key for ipofmyhost has changed and you have requested strict checking.
Host key verification failed.

এবং আমি জানি কেন কারণ আমি এই জাতীয় সার্ভারের আইপি পরিবর্তন করেছি। তবে যদি তা না হয় তবে আমি কীভাবে দূরবর্তী হোস্ট দ্বারা প্রেরিত ইসিডিএসএ কীটির জন্য আঙুলের ছাপটি পরীক্ষা করতে পারি?

আমি এটি করার চেষ্টা করেছি:

echo -n ipofthehost | sha256sum

তবে আমি একই আঙুলের ছাপ পাই না। আমি "হোস্টনেম, আইপি" ধরণের পছন্দ মত চেষ্টা করেও কোনও মিল পাইনি।

যদি আমি আমার পরিচিত_হোস্ট ফাইলটি থেকে প্রবেশদ্বারটি মুছে ফেলি এবং আমি আবার চেষ্টা করার চেষ্টা করি তবে এটি সফল হয় এবং নিম্নলিখিতটি জানায়:

ECDSA key fingerprint is SHA256:xxxxxxxxxxxxxxxxxxxxxxxxxxx/xxxxxxxxx/xxxxxxx.
Are you sure you want to continue connecting (yes/no)? 

তাহলে আঙুলের ছাপটি পেতে কীভাবে sha256sum প্রয়োগ করা হচ্ছে এবং আমি কীভাবে এটি পরীক্ষা করতে পারি?


2
একটি ভাল ভাল মান ছাড়া আপনি এটি পরীক্ষা করতে পারবেন না। আপনি কেবল এসএসএইচডি শুরু করার সাথে সাথে কীগুলি উত্পন্ন হওয়ার সময় এটি লিখুন এবং সেই ভাল ভাল মানের বিরুদ্ধে পরীক্ষা করুন।

আমি আপনার প্রশ্ন সম্পাদনা করেছি। এই সাইটটি কোনও পেশাদার ব্যবসায়ের পরিবেশ সম্পর্কে কেবল প্রশ্নগুলি গ্রহণ করে। হোম নেটওয়ার্কিংয়ের প্রশ্নগুলি এখানে অফটোপিক, আমি আপনার প্রশ্নটি আমার সম্পাদনা দিয়ে সংরক্ষণ করার চেষ্টা করেছি। বর্তমানে এই প্রশ্নের ভিত্তিতে এটি বন্ধ করার জন্য আপনার প্রশ্নের বিপরীতে একটি ভোট রয়েছে।
পিটার বলেছেন যে মনিকা

@ ইউজার 186340 এটি সত্য বলে মনে হচ্ছে যে "আপনি এসএসএইচডি শুরু করার সময় আপনি কেবল এটি লিখবেন"। আপনার যদি এসএসএইচডি চালিত মেশিনে অ্যাক্সেস থাকে তবে আপনি /etc/ssh/ssh_host_ecdsa_key.pubআঙুলের ছাপটি পেতে পারেন । আমি করেছি.
জামাদগনি

উত্তর:


12

একটি সার্বজনিক কী ফিঙ্গারপ্রিন্ট কোনও আইপি স্ট্রিংয়ের সহজ হ্যাশ নয়।

রিমোট হোস্ট পাবলিক কীটি পুনরুদ্ধার করতে আপনি ব্যবহার করতে পারেন ssh-keyscan <IP>তারপরে আপনার এর ফিঙ্গারপ্রিন্টটি বের করতে সাধারণ সরঞ্জামগুলি ব্যবহার করতে পারেন ( ssh-keygen -lf <public_key_file>)।

শেষ পর্যন্ত আপনি নিজের known_hostsফাইলে বর্তমান ফিঙ্গারপ্রিন্টের সাথে তুলনা করতে পারেন ssh-keygen -l -F <domain_or_ip>


2
আমি বিভ্রান্ত হয়ে পড়েছি কেন এসএসএইচ এর মাধ্যমে সংযোগ স্থাপন করার সময় এবং প্রথমবারের জন্য কোনও এক্সডিএসএ কী জোর করে ( ssh -oHostKeyAlgorithms='ecdsa-sha2-nistp256' william@my.server) এটি ECDSA key fingerprint is SHA256:sBKcTiQ5V.... etc.যখন আমাকে চালিত হয় তখনও আমি ssh-keygen -l -f /etc/ssh/ssh_host_ecdsa_key.pub৩২ টি চরিত্রের হেক্স পাই?
উইলিয়াম টারেল

1
@ উইলিয়ামট্যুরেল এটি ঘটছে কারণ আপনার সার্ভারটির অবশ্যই একটি পুরানো (সম্ভবত প্রাক-ওপেনএসএসএইচ 6.8) সংস্করণ থাকতে হবে ssh-keygen(বা আপনার সার্ভার-সরবরাহকারী সময়ের সাথে তাল মিলিয়েছে না এবং এখনও কেবল নতুন এসএএ 256 এর পরিবর্তে কেবল এমডি 5 হ্যাশ সরবরাহ করে)। সেখানে সমাধান নীচে উপস্থিত এখানে তালিকাভুক্ত করা হয়: superuser.com/questions/929566
SeldomNeedy

9

আরও কিছু বিশদে বিশদ : কারণ সতর্কতা বার্তাটি রিমোট হোস্ট দ্বারা প্রেরিত ইসিডিএসএ কীটির ফিঙ্গারপ্রিন্টকে বোঝায় আমরা হোস্টের সর্বজনীন (একডসা) কী সম্পর্কে তথ্য সংগ্রহ করি:

ssh-keyscan -t ecdsa ip_or_hostmane > ecdsa_file_to_compare

তারপরে আমরা জানতে পারি যে আমাদের পরিচিত_হোস্ট ফাইলগুলিতে সর্বজনীন (একডসা) কীটি রয়েছে:

ssh-keygen -l -F ipofhost

যদি আমরা আমাদের পরিচিত_হোস্ট ফাইলের বিষয়বস্তু (এই হোস্টের সাথে সম্পর্কিত কেবল প্রবেশ) রাখতে হয় আঙুলের ছাপগুলির সাথে তুলনা করতে চাই, তবে আমরা এটিকে ecdsa_file_from_علوم_hosts বলতে পারি এবং তারপরে নীচের সাথে তুলনা করতে পারি:

ssh-keygen -lf ecdsa_file_to_compare
ssh-keygen -lf ecdsa_file_from_known_hosts

এবং শো একই হ্যাশ কিনা তা পরীক্ষা করুন।

অবশ্যই তারা মেলে না, সে কারণেই আমি সতর্কতা বার্তাটি পেয়েছি (এসএসএস অভ্যন্তরীণভাবে এই মিলটি চেক করে)। আমরা যদি আইপি পরিবর্তনের বিষয়ে নিশ্চিত হয়ে থাকি (সুতরাং আমরা মধ্যবর্তী হামলার শিকার হচ্ছি না) আমরা কেবল আমাদের পরিচিত_হোস্ট ফাইলটিতে সেই হোস্টের প্রবেশটি মুছতে পারি এবং পরের বারের জন্য এটির জন্য একটি নতুন নতুন এন্ট্রি প্রবেশ করি এটি এ জাতীয় ফাইলে যুক্ত হবে।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.