"Correggi" l'uomo nel mezzo

7

Ho appena provato a connettere ssh a un server (auth tramite la chiave ssh) e ottenere il messaggio ben noto WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! . Sono l'amministratore del server (ma non sono davvero un buon amministratore del server) e non cambia nulla su questo server. Un altro collega può andare su questo server (anche tramite chiave SSH) e non ha l'errore. E un altro server può connettersi a questo server (autenticazione tramite chiave ssh).

Quindi questo succede solo a me. Io rigenero la chiave con ssh-keygen -R xxx.xxx.xxx.xxx , e ora non ci sono problemi. Adesso è tutto a posto, ma non so se c'è un problema di sicurezza. Facendo così, ho risolto l'uomo nel problema centrale o sono stato esposto? Cosa dovrei fare in caso affermativo?

In altre parole, la mia domanda è: Dovrei andare nel panico?

Un'altra domanda secondaria: è il posto giusto per porre questo tipo di domanda?

P.S: il tipo di chiave era ssh-rsa e ora è ecdsa-sha2-nistp256 . Non so perché, è ancora ssh-rsa per il mio collega di lavoro

    
posta rap-2-h 19.10.2015 - 18:05
fonte

1 risposta

2

I regenerate the key with ssh-keygen -R xxx.xxx.xxx.xxx

Questa non è una rigenerazione chiave! È la rimozione chiave dal tuo file known_hosts . Se c'era man-in-the-middle, l'attaccante ora può essere autenticato sul tuo server!

Dovresti controllare le chiavi del server dal tuo computer e dal tuo collega se ti dà lo stesso set (uno strumento valido per ottenere tutte le chiavi ssh pubbliche dal server è ssh-keyscan ). È normale che il server abbia più chiavi diverse (e tipi di chiave), ma senza sapere cosa c'era nel tuo file known_hosts prima di rimuoverlo, non hai alcuna possibilità di scoprire cosa ha causato il problema.

Se hai ancora la vecchia chiave pubblica da known_hosts , prima di rimuoverla, controlla quale chiave ha il tuo collega memorizzato per quel server e quali sono le chiavi effettive sul server (preferibilmente tramite accesso fisico al server , ma anche ssh-keyscan può essere d'aiuto). Se differisce da qualche parte, dovresti investigare ulteriormente sulla tua infrastruttura o sulla tua macchina e sul tuo server, perché in tal caso potrebbero esserci dei veri problemi.

    
risposta data 19.10.2015 - 18:32
fonte

Leggi altre domande sui tag