এসএসএইচে "হোস্টের সত্যতা প্রতিষ্ঠিত করা যায় না" বার্তাটি কী কোনও সুরক্ষা ঝুঁকি প্রতিফলিত করে?


19

যখনই আমি আমার কম্পিউটার থেকে একটি নতুন এসএসএইচ সার্ভারের সাথে সংযুক্ত থাকি আমি এই বার্তাটি পাই:

The authenticity of host '[censored]:censored ([0.0.0.0]:censored)' can't be established.
RSA key fingerprint is SHA256:censored.
Are you sure you want to continue connecting (yes/no)?

এসএসএইচ আমাকে কেন জিজ্ঞাসা করে?

আমার কি এলোমেলো এসএসএইচ সার্ভারের সাথে সংযোগ স্থাপনের কোনও ঝুঁকি আছে?

বা আপনি যে সার্ভারে সংযোগ করছেন তা হ্যাক হয়নি তা নিশ্চিত করার জন্যই এটি কি?


আপনি লগ ইন করতে একটি পাসওয়ার্ড বা একটি কী ব্যবহার করছেন?
ক্যাস্পারড

1
বেশ কিছু আছে ভাল উপায় ট্রাস্ট-অন-প্রথম ব্যবহার তুলনায় হোস্ট কী বিতরণ করতে; এটি তুলনামূলকভাবে অনিরাপদ কর্মপ্রবাহ। হোস্ট কীগুলি এলডিএপি এর মাধ্যমে বিতরণ করা যেতে পারে; স্বাক্ষরিত ডিএনএস এন্ট্রিগুলির মাধ্যমে; এসএসএইচ শংসাপত্র কর্তৃপক্ষের সাথে স্বাক্ষর করা যেতে পারে; ইত্যাদি যা বলতে হয় - আপনি এখানে যা দেখছেন তা ইঙ্গিত দেয় যে আপনার সাইটটি "অলস উপায়" (যা প্রায় সবগুলিই!) কনফিগার করা হয়েছে, যা সঠিকভাবে কাজ করতে আরও দৈর্ঘ্যে যাওয়ার চেয়ে কম সুরক্ষিত।
চার্লস ডাফি

উত্তর:


29

এটি আপনাকে জিজ্ঞাসা করছে কারণ এটি আগে কখনও এই হোস্টের সাথে সংযুক্ত থাকে না।

আপনি যদি কোনও সুরক্ষিত পরিবেশে থাকেন তবে আপনি দূরবর্তী হোস্টের ফিঙ্গারপ্রিন্টটি জানতে পারবেন এবং এটি প্রথম সংযোগের সাথে তুলনা করবেন - যদি ফিঙ্গারপ্রিন্টটি আপনার যা জানা উচিত তার সাথে মেলে তবে দুর্দান্ত। আপনি যদি কম সুরক্ষিত পরিবেশে থাকেন তবে আপনি এটি প্রথম সংযোগে গ্রহণ করতে পারেন।

একবার আপনি " হ্যাঁ, আমি সেই হোস্ট কীটি বিশ্বাস করি এবং এটি সেই হোস্টনাম / আইপির সাথে যুক্ত হতে চাই " বলে ফেললে, এসএসএইচ ক্লায়েন্ট আপনার জন্য এটি মনে রাখবে ... যাই হোক না কেন কারণে (নতুন হোস্ট কী / পুনরায় ইনস্টল করুন) মেশিন / মাঝখানে মানুষ) পরবর্তী সংযোগের সাথে কীটি মেলে না , আপনি নীচের মত একটি সতর্কতা দেখতে পাবেন:

$ ssh baloo
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
SHA256:Su0uy/4BcRcpmyLfxO9ndlcda52F8uct6yWNp7Sa92M.
Please contact your system administrator.
Add correct host key in /home/attie/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /home/attie/.ssh/known_hosts:65
  remove with:
  ssh-keygen -f "/home/attie/.ssh/known_hosts" -R baloo
ECDSA host key for baloo has changed and you have requested strict checking.
Host key verification failed.

এই পরিস্থিতিতে, যদি আপনি জানেন যে রিমোট হোস্টটি সত্যই পরিবর্তিত হয়েছে, তবে আপনি এগিয়ে যেতে পারেন ... সম্ভবত ফিঙ্গারপ্রিন্টটি সঠিক কিনা তা যাচাই করছে।

আপনি যদি অনিশ্চিত হন, বা জানেন যে দূরবর্তী হোস্টটি পরিবর্তন করা উচিত হয়নি, তবে এটি আপনাকে একটি সম্ভাব্য আক্রমণে আটকে দেবে।


4
এটি তোফু নীতি: প্রথম ব্যবহারের উপর ভরসা
প্যাট্রিক মেভিজেক

2
সম্মত, TOFU একটি দুর্দান্ত ধারণা নয় - বিশেষ করে আপনার যদি নিশ্চিত হওয়ার দরকার হয় ... আপনার মতামত এবং পদ্ধতির (আপনার উচিত) আপনার থ্রেডের মডেলের উপর নির্ভর করবে।
এট্টি

1
তবে এর কার্যকারিতার জন্য, cs.auckland.ac.nz/~pgut001/pubs/defend.pdf , পৃষ্ঠা 45-48 দেখুন 8
জোকার_ভিডি

জবর স্লাইড ভাগ করে নেওয়ার জন্য ধন্যবাদ @Joker_vD
Attié

1
@ পেট্রিকম্যাভিজাক সমস্যাটি হ'ল আমাদের "কম্পিউটার" বিশ্বাসের পুরো মডেলটি মূলত একটি বুলিয়ানের গ্রানুলারিটিতে রয়েছে, যখন সত্যিকারের বিশ্বে একটি বাস্তবের মডেল (যেমন আমরা আন্তঃ-মানবীয় সম্পর্কের ক্ষেত্রে স্বজ্ঞাতভাবে ব্যবহার করি) এর মতো আরও শর্তসাপেক্ষ সম্ভাবনা: সত্তার পক্ষ থেকে দাবি দেওয়া, আমাদের কিছুটা আস্থা আছে যে সত্তা এটি অনুসরণ করবে এবং আমরা আমাদের অনুষঙ্গকে সেই পরিমাণে ঝুঁকির মধ্যে সীমাবদ্ধ করি।
mtraceur

9

আপনি যখন এই বার্তাটি পান এসএসএইচ কেবলই বলে চলেছে "আমি এই কম্পিউটারটি এর আগে কখনও দেখিনি তাই আমি নিশ্চিত হতে পারি না যে এটি কে বলে এটিই কি আপনি বিশ্বাস করেন?" কোন মুহুর্তে আপনি বলতে পারেন যে আপনি এটির উপর নির্ভর করেছেন এবং ভবিষ্যতে আপনার কম্পিউটার আপনাকে মনে করবে এবং আপনাকে আবার জিজ্ঞাসা করবে না।

আদর্শভাবে এটি বিশ্বাস করার জন্য আপনাকে সার্ভারে থাকা কীটির সাথে ম্যানুয়ালি চাবিটি তুলনা করা উচিত (যেহেতু আপনি একটি জিপিজি কীতে বিশ্বাস করবেন যে আপনি যার যার মালিক এটি আসলে পাবলিক কী তৈরি করতে পারে তা পরীক্ষা করে)। যদিও বাস্তবে লোকেরা এ নিয়ে মাথা ঘামায় না (অন্তত আমার জ্ঞান থেকে)।

আসল সুবিধাটি আপনি যখন সার্ভারের সাথে সংযোগ করেন তার পরের সময় থেকে আসে। যদি এসএসএইচ সেই সার্ভার সম্পর্কে অভিযোগ করে যা আপনি ইতিমধ্যে একই সার্ভার না হওয়ার বিষয়ে বিশ্বাস করেছেন তবে আপনি এমআইটিএম আক্রমণের শিকার হওয়ার সম্ভাবনা রয়েছে।

সর্বোপরি যদি আপনি এমন কোনও নেটওয়ার্কে থাকেন যেখানে আপনি আত্মবিশ্বাসী হন যে মিডল অ্যাটাক চলছে না এবং এই প্রথম আপনি কম্পিউটারে সংযোগ করছেন তবে আপনি কীটি গ্রহণ করতে নিরাপদ থাকা উচিত safe (যদিও আপনি যদি কোনও শীর্ষ গোপন সরকারী মিশনে কাজ করছেন তবে আপনার সিস্টেম প্রশাসককে সংযোগ দেওয়ার আগে ফিঙ্গারপ্রিন্ট যাচাই করতে বলুন)

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.