Quando ho usato ssh-genkey
su macOS per generare la coppia di file chiave (uno chiamato con .pub
), quello strumento ha riportato un SHA256 hash come fingerprint della chiave pubblica .
Al primo collegamento al mio server, una Digital Ocean droplet istanza del server virtuale in esecuzione < a href="https://en.wikipedia.org/wiki/FreeBSD"> FreeBSD inizializzato con i contenuti del mio file .pub
chiave pubblica, al primo tentativo di connettermi con ssh 1.2.3.4
ottengo il messaggio :
The authenticity of host '1.2.3.4 (1.2.3.4)' can't be established.
ECDSA key fingerprint is SHA256:tjdoQBGbHexAm+uwZ5rZwxyJH0nxjMC08QtO47QGQjE.
Questo non sembra corrispondere allo SHA256 restituito da ssh-keygen
quando ho creato i file chiave.
Alcuni siti sembrano dire che dovrei ignorare questo problema. Affermano che l'impronta digitale chiave che appare quando si connette al mio server tramite ssh non è correlata all'impronta digitale del contenuto del file della chiave pubblica ssh che ho caricato su Digital Ocean per essere utilizzato nella creazione dell'istanza del server. Trovo questo difficile da capire.
- Che punto c'è in Digital Ocean insistendo nel fornire una chiave pubblica SSH da usare nella configurazione del mio nuovo server se viene ignorata o è irrilevante?
- Cosa ferma un attacco Man-In-The-Middle se devo ignorare l'impronta digitale riportata durante il primo tentativo di stabilire una connessione / sessione ssh?
- Perché ssh riporta anche un'impronta digitale chiave se vogliamo ignorarla?