SSH: Неможливо встановити справжність хоста <host>

Що означає це повідомлення? Це потенційна проблема? Чи канал не захищений?

Або це просто повідомлення за замовчуванням, яке завжди відображається при підключенні до нового сервера?

Я звик бачити це повідомлення при використанні SSH в минулому: я завжди вводив свій логін з паролем звичайним способом, і мені це було чудово, тому що я не використовував приватні / відкриті ключі (що набагато безпечніше ніж короткий пароль). Але цього разу я встановив відкритий ключ із ssh для мого підключення до бітбукета, але все одно отримав повідомлення. Мені відомо, що запит про фразу в кінці - це інший, додатковий захід безпеки, для розшифровки приватного ключа.

Я сподіваюся, що хтось може дати приємне пояснення того, що розуміється під цим повідомленням "автентичність неможливо встановити".

The authenticity of host 'bitbucket.org (207.223.240.181)' can't be established.

RSA key fingerprint is 97:8c:1b:f2:6f:14:6b:5c:3b:ec:aa:46:46:74:7c:40.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'bitbucket.org,207.223.240.181' (RSA) to the list of
known hosts.
Enter passphrase for key '/c/Users/Steven/.ssh/id_rsa':

Це говорить вам, що ви ніколи раніше не підключалися до цього сервера. Якщо ви цього очікували, це абсолютно нормально. Якщо ви параноїк, перевірте контрольну суму / відбиток пальця ключа за допомогою іншого каналу. (Але зауважте, що той, хто може перенаправити ваше ssh-з'єднання, також може перенаправити сеанс веб-браузера.)

Якщо ви підключились до цього сервера раніше від цього встановлення ssh, то або сервер був перенастроєний за допомогою нового ключа, або хтось підробляє особу сервера. Зважаючи на серйозність нападу "людина-середня", це попереджає вас про можливість.

У будь-якому випадку у вас є захищений зашифрований канал для когось . Ніхто без приватного ключа, що відповідає відбитку пальців, не 97:8c:1b:f2:6f:14:6b:5c:3b:ec:aa:46:46:74:7c:40може розшифрувати те, що ви надсилаєте.

Ключ, який ви використовуєте для аутентифікації, не пов'язаний ... ви не хочете надсилати інформацію про автентифікацію на шахрайський сервер, який може його вкрасти, і тому не слід очікувати змін, залежно від того, чи будете ви використовувати парольну фразу чи приватний ключ для входу. Ви просто ще не досягли цього процесу.

Скажімо, ви зустрічаєтеся з кимось, щоб обмінятися діловими секретами. Ваш радник каже вам, що ви ніколи раніше не зустрічалися з цією людиною і що вона може бути самозванкою. Крім того, на наступні зустрічі з ним ваш радник вже не збирається попереджати вас. Саме це означає повідомлення. Особа - віддалений сервер, а ваш радник - клієнт ssh.

Я не думаю, що параноїдно двічі перевірити особистість людини, перш ніж поділитися з нею секретами. Наприклад, ви можете відкрити веб-сторінку із зображенням її та порівняти її із обличчям перед вами. Або перевірити її посвідчення особи.

Для сервера bitbucket ви можете використовувати інший, більш надійний комп'ютер і отримати з нього зображення його обличчя , а потім порівняти його з тим, який ви отримуєте в комп'ютері, яким ви зараз користуєтеся. Використання:

 ssh-keyscan -t rsa bitbucket.org | ssh-keygen -lv -f -

Якщо обличчя збігаються, ви можете додати ключ до файлу, наприклад ~/.ssh/known_hosts(стандартне розташування у багатьох дистрибутивах Linux) за допомогою:

ssh-keyscan -t rsa -H bitbucket.org >> ~/.ssh/known_hosts

і клієнт ssh не попередить вас, оскільки це вже знає її обличчя . Він порівняє обличчя в будь-який час, коли ви підключитесь. Це дуже важливо. У разі самозванця (наприклад, атака зловмисників) ssh-клієнт відхилить з'єднання, оскільки обличчя змінилося.

Мені просто довелося створити known_hostsтекстовий файл в~/.ssh

sudo vim ~/.ssh/known_hosts
sudo chmod 777 ~/.ssh/known_hosts

Після цього він додав хоста і я більше ніколи не бачив повідомлення.

Є ще один простий спосіб Просто торкніться файла "config" під /root/.ssh та додайте параметр StrictHostKeyChecking ні. Наступного разу, коли ви ввійдете на сервер, ключ rsa буде доданий до знаних_хостів і не запитуватиме "так" для підтвердження справжності

Це повідомлення є лише SSH, яке повідомляє вам, що він ніколи раніше не бачив цього конкретного хост-ключа, тому він не в змозі по-справжньому перевірити, що ви підключаєтесь до хоста, який ви думаєте. Коли ви говорите "Так", він кладе ключ ssh у ваш файл знаних_хостів, а потім при наступних з'єднаннях порівнюватиме ключ, який він отримує від хоста, та ключ у відомому файлі знань.

Була пов’язана стаття про переповнення стека, де показано, як відключити це попередження, https://stackoverflow.com/questions/3663895/ssh-the-authenticity-of-host-hostname-cant-be-established .

Крім уже наданих відповідей (ви ніколи раніше не підключалися до цього хоста), існує також чітка можливість того, що ви ніколи раніше не підключалися від поточного хоста (до цього хоста); це лише психологічно інше; ви думаєте, що підключаєтесь від хоста A (до B), а насправді ви намагаєтесь підключитися від хоста X (до B). Це може, наприклад, статися, коли ви спершу ssh-ed від A до X, а потім з того ж терміналу намагаєтесь ssh до B, думаючи, що ви все ще на A.

У моєму випадку з паролем менше входу не працювало через дозволи на домашній каталог, оскільки я змінив налаштування за замовчуванням. Нарешті, ось що для мене спрацювало. дозволи до мого домашнього каталогу є

/ home / username

drwxr----x. 18 username     groupname  4096 May 11 11:52 username

/home/username/.ssh

268823097 drwx------   2 username groupname     29 May 11 11:53 .ssh

/home/username/.ssh/authorized_keys

-rw-r----- 1 username groupname 402 May 11 11:53 authorized_keys