Un modo semplice per proteggere ssh dall'attacco man-in-the-middle? [duplicare]

1

Se è necessario un canale ristretto e affidabile (ad esempio, c'è una chiavetta USB per prendere i dati tra le macchine), va bene.

Sebbene SSH genererà un grosso errore se tenta di connettersi a un server fingendo di essere un altro (l'impronta digitale RSA non corrisponde), non può accadere se i server non si conoscono (anche loro non sanno chiave di eachothers pure). In questo caso, anche prima della prima connessione, è possibile un attacco MitM, AFAIK.

I migliori erano una sequenza di comandi su entrambi i lati, che genera i tasti necessari su entrambi i lati.

    
posta peterh 22.05.2014 - 14:11
fonte

1 risposta

1

Se i server non si conoscono, ogni connessione è in teoria non protetta. Puoi avere un elenco di server conosciuti, distribuirlo nel tuo ambiente e impedire agli utenti di stabilire una connessione con server sconosciuti.

Per proteggere ulteriormente te stesso, puoi aggiungere l'impronta digitale del server al record DNS per richiedere ulteriori verifiche durante la connessione. Vedi questo tutorial per un esempio.

    
risposta data 22.05.2014 - 16:33
fonte

Leggi altre domande sui tag