SSH/Fingerprint: Unterschied zwischen den Versionen
| (9 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 18: | Zeile 18: | ||
Bevor Sie Ihren Fingerabdruck überprüfen können, müssen Sie den dafür verwendeten Algorithmus kennen | Bevor Sie Ihren Fingerabdruck überprüfen können, müssen Sie den dafür verwendeten Algorithmus kennen | ||
* Dieser sollte aus dem Inhalt Ihrer Nachricht hervorgehen | * Dieser sollte aus dem Inhalt Ihrer Nachricht hervorgehen | ||
<syntaxhighlight lang="bash" highlight=""> | |||
Die Authentizität des Hosts '172.86.75.163 (172.86.75.163)' kann nicht festgestellt werden. ED25519 key fingerprint is SHA256:NTw36MQjDxsHlxC/Xso5yKMlKJu93uYknRx2LEaqk7I. This key is not known by any other names. Sind Sie sicher, dass Sie die Verbindung fortsetzen möchten (ja/nein/[fingerprint])? | |||
</syntaxhighlight> | |||
Sie können sehen, dass unser Schlüssel den Algorithmus '''ED25519''' verwendet und mit '''SHA256''' gehasht wird | Sie können sehen, dass unser Schlüssel den Algorithmus '''ED25519''' verwendet und mit '''SHA256''' gehasht wird | ||
* Sie sollten sich dies notieren, ebenso wie den Fingerabdruck selbst, in diesem Fall <code>NTw36MQjDxsHlxC/Xso5yKMlKJu93uYknRx2LEaqk7I</code> | * Sie sollten sich dies notieren, ebenso wie den Fingerabdruck selbst, in diesem Fall | ||
<code>NTw36MQjDxsHlxC/Xso5yKMlKJu93uYknRx2LEaqk7I</code> | |||
Ihr Schlüsselalgorithmus könnte auch ECDSA, RSA und DSA sein, und Ihr Hashing-Algorithmus könnte MD5 statt SHA sein | Ihr Schlüsselalgorithmus könnte auch ECDSA, RSA und DSA sein, und Ihr Hashing-Algorithmus könnte MD5 statt SHA sein | ||
| Zeile 29: | Zeile 33: | ||
Führen Sie den Befehl ssh-keygen aus, um den Fingerabdruck Ihres Schlüssels auszulesen | Führen Sie den Befehl ssh-keygen aus, um den Fingerabdruck Ihres Schlüssels auszulesen | ||
; SHA256 | ; SHA256 | ||
<syntaxhighlight lang="bash" highlight="1" line copy> | |||
ssh-keygen -lf [Datei]] | |||
</syntaxhighlight> | |||
; MD5 | ; MD5 | ||
<syntaxhighlight lang="bash" highlight="1" line copy> | |||
ssh-keygen -E md5 -lf [Datei] | |||
</syntaxhighlight> | |||
{| class="wikitable options" | {| class="wikitable options big" | ||
|- | |- | ||
! !! Datei | ! Algorithmus !! Datei | ||
|- | |- | ||
| [[ED25519]] || /etc/ssh/ssh_host_ed25519_key.pub | | [[ED25519]] || /etc/ssh/ssh_host_ed25519_key.pub | ||
| Zeile 48: | Zeile 56: | ||
; Beispiel | ; Beispiel | ||
<syntaxhighlight lang="bash" highlight="1" line copy> | |||
ssh-keygen -lf /etc/ssh/ssh_host_ed25519_key.pub | |||
256 SHA256:NTw36MQjDxsHlxC/Xso5yKMlKJu93uYknRx2LEaqk7I root@6311ad8b487e6f00018c5cd1 (ED25519) | 256 SHA256:NTw36MQjDxsHlxC/Xso5yKMlKJu93uYknRx2LEaqk7I root@6311ad8b487e6f00018c5cd1 (ED25519) | ||
</syntaxhighlight> | |||
Wenn die Ausgabe nicht mit dem Fingerabdruck übereinstimmt, den Sie zuvor notiert haben, '''stellen Sie keine Verbindung zum Server her!''' | Wenn die Ausgabe nicht mit dem Fingerabdruck übereinstimmt, den Sie zuvor notiert haben, '''stellen Sie keine Verbindung zum Server her!''' | ||
<noinclude> | <noinclude> | ||
Aktuelle Version vom 2. Oktober 2025, 10:33 Uhr
SSH/Fingerprint - Fingerabdruck eines SSH-Servers prüfen
Beschreibung
Die Überprüfung der Authentizität Ihres Servers ist wichtig, wenn Sie sich zum ersten Mal mit ihm verbinden
Authentizität eines entfernten Hosts
- Warum die SSH-Fingerabdruckprüfung wichtig ist
SSH-Verbindungen sind am verwundbarsten, wenn Sie sich zum ersten Mal mit einem Server verbinden
- Nachdem Sie zum ersten Mal eine Verbindung zu einem Server hergestellt haben, speichert der SSH-Client seinen Fingerabdruck
- Wenn sich dieser Fingerabdruck dann ändert, weil jemand versucht, Sie mit einem bösartigen Server zu verbinden, wird Ihr SSH-Client Sie warnen, dass sich der Fingerabdruck geändert hat
Wenn Sie sich zum ersten Mal mit einem Server verbinden, war Ihr Client nicht in der Lage, seinen Fingerabdruck zu protokollieren und zu überprüfen, ob er korrekt ist
- Daher kann ein Angreifer erfolgreich einen Man-in-the-Middle-Angriff durchführen
- Die einzige Möglichkeit, um sicherzustellen, dass Sie sich von Anfang an mit dem richtigen Server verbinden, besteht darin, den Fingerabdruck Ihres SSH-Schlüssels manuell zu überprüfen
Fingerabdruck eines SSH-Schlüssels überprüfen
Bevor Sie Ihren Fingerabdruck überprüfen können, müssen Sie den dafür verwendeten Algorithmus kennen
- Dieser sollte aus dem Inhalt Ihrer Nachricht hervorgehen
Die Authentizität des Hosts '172.86.75.163 (172.86.75.163)' kann nicht festgestellt werden. ED25519 key fingerprint is SHA256:NTw36MQjDxsHlxC/Xso5yKMlKJu93uYknRx2LEaqk7I. This key is not known by any other names. Sind Sie sicher, dass Sie die Verbindung fortsetzen möchten (ja/nein/[fingerprint])?
Sie können sehen, dass unser Schlüssel den Algorithmus ED25519 verwendet und mit SHA256 gehasht wird
- Sie sollten sich dies notieren, ebenso wie den Fingerabdruck selbst, in diesem Fall
NTw36MQjDxsHlxC/Xso5yKMlKJu93uYknRx2LEaqk7I
Ihr Schlüsselalgorithmus könnte auch ECDSA, RSA und DSA sein, und Ihr Hashing-Algorithmus könnte MD5 statt SHA sein
Überprüfen des Fingerabdrucks auf dem Server
Loggen Sie sich über eine vertrauenswürdige Methode in Ihren Server ein
Führen Sie den Befehl ssh-keygen aus, um den Fingerabdruck Ihres Schlüssels auszulesen
- SHA256
ssh-keygen -lf [Datei]]
- MD5
ssh-keygen -E md5 -lf [Datei]
| Algorithmus | Datei |
|---|---|
| ED25519 | /etc/ssh/ssh_host_ed25519_key.pub |
| ECDSA | /etc/ssh/ssh_host_ecdsa_key.pub |
| RSA | /etc/ssh/ssh_host_rsa_key.pub |
| DSA | /etc/ssh/ssh_host_dsa_key.pub |
- Beispiel
ssh-keygen -lf /etc/ssh/ssh_host_ed25519_key.pub
256 SHA256:NTw36MQjDxsHlxC/Xso5yKMlKJu93uYknRx2LEaqk7I root@6311ad8b487e6f00018c5cd1 (ED25519)
Wenn die Ausgabe nicht mit dem Fingerabdruck übereinstimmt, den Sie zuvor notiert haben, stellen Sie keine Verbindung zum Server her!
Anhang
Siehe auch
Dokumentation
- Man-Page
Links
Projekt
Weblinks