Cosa può causare un'impronta digitale ssh modificata?

3

Quali sono le possibili cause di un'impronta digitale ssh modificata?

Alcuni contesti: dopo aver trovato una vulnerabilità sensibile in un sistema governativo e averlo rivelato a loro, è successo qualcosa che non ricordo di aver mai fatto prima. Durante la connessione al VPS che ho usato per verificare la vulnerabilità, il mio client ssh si è lamentato della chiave; l'impronta digitale non corrisponde a quella salvata. Ho verificato che quello salvato era ancora lì, e dopo aver riavviato immediatamente il VPS, è stato abbinato nuovamente.

Quali sono le probabilità che ciò sia dovuto a interferenze dannose?

    
posta J.A.K. 28.11.2017 - 01:42
fonte

2 risposte

5

L'ipotesi corretta in questo caso è che ti stai connettendo a un server diverso.

  • Forse un attacco MitM o
  • forse il tuo DNS è falsificato o
  • forse il tuo centro dati ha appena rimosso la tua macchina per un secondo perché ha ricevuto una chiamata dal governo e stai accidentalmente cercando di connetterti al loro "server irraggiungibile" macchina del catchall o
  • forse il tuo server si è schiantato sotto il carico improvviso e le sospensioni di cui sopra o ...

Ci sono molte ragioni per cui potresti connetterti alla macchina sbagliata e non dovresti assolutamente procedere.

Ci sono anche un paio di motivi innocui, falsi positivi che a volte collegano le persone.

I falsi positivi a cui riesco a pensare in questo momento:

  • Il server ha rimosso una vecchia ciphersuite che non vuole più supportare.
  • L'IP del server è cambiato e tu hai "CheckHostIP sì" nella tua configurazione (di default su molti sistemi).
  • Ti sei connesso allo stesso server usando un nome host diverso (pensa a qualcosa come gitlab) dato che le cifrarie predefinite sono cambiate. (Questo è davvero oscuro, ma ci ho provato.)

Nota che come descritto qui l'autenticazione della chiave pubblica previene gli attacchi MitM. Ovviamente non ti impedisce semplicemente di accedere alla macchina sbagliata e quindi di digitare la tua password sudo. Quindi è ancora necessaria cautela.

    
risposta data 28.11.2017 - 10:57
fonte
1

Questo potrebbe essere assolutamente causato da un attaccante sul percorso che lancia un attacco man-in-the-middle e tenta di impersonare il server SSH del VPS. Non avrebbero la chiave dell'host, quindi presenterebbero solo la loro, il che farebbe scattare un avvertimento. Un altro motivo comune che genera questo errore è quando è cambiato l'indirizzo IP del server su cui si sta eseguendo SSH. Il file known_hosts essenzialmente codifica IP, SSH Finger Key Fingerprint, nome host. Se l'IP o l'impronta digitale della chiave SSH cambiano per un nome host, riceverai un avviso.

    
risposta data 28.11.2017 - 08:19
fonte

Leggi altre domande sui tag