Cambio automatico delle impronte digitali RSA o sono stato violato?

4

oggi ho provato a connettermi al Digital Ocean VPS tramite Putty (kitty) come al solito, ma ho ricevuto il messaggio che l'impronta digitale del cache del server era cambiata e che poteva essere un compromesso di sicurezza.

Ho accettato la nuova chiave perché avevo bisogno di accedere al momento, ma ora ne sono un po 'curioso.

La chiave potrebbe essere stata aggiornata automaticamente? (Non l'ho modificato manualmente e root è disabilitato). Cosa posso fare per verificare se si tratta di una potenziale violazione della sicurezza?

Non sono sicuro se dovrei postare questo qui o sulla community di linux, ma qualsiasi aiuto sarebbe molto apprezzato.

    
posta raphadko 31.10.2015 - 06:32
fonte

1 risposta

2

La prima cosa che dirò è ahi. I motivi tipici per una modifica delle impronte digitali sono la chiave server ssh è stata rigenerata (da qualcuno), la sshd reinstallata (non appena aggiornata da yum o apt-get), il client ssh locale reinstallato o --- la vera ragione per il controllo --- c'è un uomo-in-the-middle.

Negli scenari di aggiornamento chiave, l'hai fatto tu o qualcun altro l'ha fatto. Se non eri tu, allora probabilmente sei compromesso.

Nello scenario MITM, tutto ciò che è stato digitato è stato catturato ed è ora riproducibile da un avversario. Nel qual caso sei probabilmente compromesso. Niente è nascosto dal MITM.

Quindi, prima di presumere che tu sia compromesso, ti preghiamo di assicurarti che Dig O non gestisca il tuo servizio per te e non apporti tali modifiche per tuo conto. Inoltre, se hai aggiornato il tuo client ssh locale, la chiave potrebbe essere stata calpestata. Cerca ragioni logiche per non aspettarti il peggio --- ma sei molto molto corretto per essere paranoico. [personalmente mi aspetto sempre il peggio. Ho lavorato molte molte dozzine di intrusioni molto significative.]

Nel peggiore dei casi devi semplicemente scalare il sistema operativo e ripristinare i dati (non file eseguibili, librerie, password o ssh_keys da un backup potenzialmente danneggiato, ma solo i tuoi dati. Se ripristini i servizi hai una condizione di competizione .. aggiornare istantaneamente le password di autenticazione.

Tutto ciò presuppone che qualsiasi intrusione non inizi con il tuo client locale e sia stata propagata al server remoto::).

In generale, dovresti capire da dove viene quel messaggio e se non è stato tu, è ora di mettersi al lavoro.

    
risposta data 01.11.2015 - 04:57
fonte

Leggi altre domande sui tag