SSH/Fingerprint: Unterschied zwischen den Versionen

Aus Foxwiki
 
(10 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''Fingerabdruck eines SSH-Schlüssels prüfen'''
'''Fingerabdruck eines SSH-Servers prüfen'''


== Beschreibung ==
== Beschreibung ==
; Überprüfung der Authentizität des entfernten Hosts
Die Überprüfung der Authentizität Ihres Servers ist wichtig, wenn Sie sich zum ersten Mal mit ihm verbinden
Die Überprüfung der Authentizität Ihres Servers ist wichtig, wenn Sie sich zum ersten Mal mit ihm verbinden.


Wenn Sie SSH schon einmal benutzt haben, werden Sie die Warnung "Die Authentizität des Hosts kann nicht festgestellt werden" bemerkt haben.
=== Authentizität eines entfernten Hosts ===
* Dies geschieht, wenn Sie zum ersten Mal versuchen, sich mit einem Server zu verbinden.
; Warum die SSH-Fingerabdruckprüfung wichtig ist
* Obwohl es verlockend ist, diese Warnung einfach zu ignorieren und <code>y</code> zu drücken, empfehlen wir Ihnen, stattdessen den SSH-Fingerabdruck zu überprüfen, um sicherzustellen, dass er übereinstimmt.
SSH-Verbindungen sind am verwundbarsten, wenn Sie sich zum ersten Mal mit einem Server verbinden
* Wir werden weiter unten erklären, warum.
* Nachdem Sie zum ersten Mal eine Verbindung zu einem Server hergestellt haben, speichert der SSH-Client seinen Fingerabdruck


; Warum die SSH-Fingerabdruckprüfung wichtig ist
* Wenn sich dieser Fingerabdruck dann ändert, weil jemand versucht, Sie mit einem bösartigen Server zu verbinden, wird Ihr SSH-Client Sie warnen, dass sich der Fingerabdruck geändert hat
SSH-Verbindungen sind am verwundbarsten, wenn Sie sich zum ersten Mal mit einem Server verbinden.
* Nachdem Sie zum ersten Mal eine Verbindung zu einem Server hergestellt haben, speichert der SSH-Client seinen Fingerabdruck.
* Wenn sich dieser Fingerabdruck dann ändert, d. h. wenn jemand versucht, Sie mit einem bösartigen Server zu verbinden, wird Ihr SSH-Client Sie warnen, dass sich der Fingerabdruck geändert hat.


Wenn Sie sich zum ersten Mal mit einem Server verbinden, war Ihr Client nicht in der Lage, seinen Fingerabdruck zu protokollieren und zu überprüfen, ob er korrekt ist.
Wenn Sie sich zum ersten Mal mit einem Server verbinden, war Ihr Client nicht in der Lage, seinen Fingerabdruck zu protokollieren und zu überprüfen, ob er korrekt ist
* Daher kann ein Angreifer erfolgreich einen Man-in-the-Middle-Angriff durchführen.
* Daher kann ein Angreifer erfolgreich einen Man-in-the-Middle-Angriff durchführen
* Die einzige Möglichkeit, um sicherzustellen, dass Sie sich von Anfang an mit dem richtigen Server verbinden, besteht darin, den Fingerabdruck Ihres SSH-Schlüssels manuell zu überprüfen.
* Die einzige Möglichkeit, um sicherzustellen, dass Sie sich von Anfang an mit dem richtigen Server verbinden, besteht darin, den Fingerabdruck Ihres SSH-Schlüssels manuell zu überprüfen


== Fingerabdruck eines SSH-Schlüssels überprüfen ==
== Fingerabdruck eines SSH-Schlüssels überprüfen ==
Bevor Sie Ihren Fingerabdruck überprüfen können, müssen Sie den dafür verwendeten Algorithmus kennen.
Bevor Sie Ihren Fingerabdruck überprüfen können, müssen Sie den dafür verwendeten Algorithmus kennen
* Dieser sollte aus dem Inhalt Ihrer Nachricht hervorgehen.
* Dieser sollte aus dem Inhalt Ihrer Nachricht hervorgehen
  <code>Die Authentizität des Hosts '172.86.75.163 (172.86.75.163)' kann nicht festgestellt werden.ED25519 key fingerprint is SHA256:NTw36MQjDxsHlxC/Xso5yKMlKJu93uYknRx2LEaqk7I.This key is not known by any other namesSind Sie sicher, dass Sie die Verbindung fortsetzen möchten (ja/nein/[fingerprint])?</code>
  <code>Die Authentizität des Hosts '172.86.75.163 (172.86.75.163)' kann nicht festgestellt werden.ED25519 key fingerprint is SHA256:NTw36MQjDxsHlxC/Xso5yKMlKJu93uYknRx2LEaqk7I.This key is not known by any other namesSind Sie sicher, dass Sie die Verbindung fortsetzen möchten (ja/nein/[fingerprint])?</code>
Sie können sehen, dass unser Schlüssel den Algorithmus '''ED25519''' verwendet und mit '''SHA256''' gehasht wird.
Sie können sehen, dass unser Schlüssel den Algorithmus '''ED25519''' verwendet und mit '''SHA256''' gehasht wird
* Sie sollten sich dies notieren, ebenso wie den Fingerabdruck selbst, in diesem Fall <code>NTw36MQjDxsHlxC/Xso5yKMlKJu93uYknRx2LEaqk7I</code>.
* Sie sollten sich dies notieren, ebenso wie den Fingerabdruck selbst, in diesem Fall <code>NTw36MQjDxsHlxC/Xso5yKMlKJu93uYknRx2LEaqk7I</code>


Ihr Schlüsselalgorithmus könnte auch ECDSA, RSA und DSA sein, und Ihr Hashing-Algorithmus könnte MD5 statt SHA sein.
Ihr Schlüsselalgorithmus könnte auch ECDSA, RSA und DSA sein, und Ihr Hashing-Algorithmus könnte MD5 statt SHA sein


=== Überprüfen des Fingerabdrucks auf dem Server ===
=== Überprüfen des Fingerabdrucks auf dem Server ===
Loggen Sie sich über eine vertrauenswürdige Methode in Ihren Server ein
Loggen Sie sich über eine vertrauenswürdige Methode in Ihren Server ein
* zum Beispiel über die Konsole


Führen Sie den Befehl ssh-keygen aus, um den Fingerabdruck Ihres Schlüssels auszulesen
Führen Sie den Befehl ssh-keygen aus, um den Fingerabdruck Ihres Schlüssels auszulesen
{| class="wikitable sortable options"
; SHA256
ssh-keygen -lf [Datei]]
 
; MD5
ssh-keygen -E md5 -lf [Datei]
 
{| class="wikitable options"
|-
|-
! Option !! Beschreibung
! !! Datei
|-
|-
| [[ED25519]] ||  
| [[ED25519]] || /etc/ssh/ssh_host_ed25519_key.pub
* '''SHA256:''' <code>ssh-keygen -lf /etc/ssh/ssh_host_ed25519_key.pub</code>
* '''MD5:''' <code>ssh-keygen -E md5 -lf /etc/ssh/ssh_host_ed25519_key.pub</code>
|-
|-
| [[ECDSA]] ||  
| [[ECDSA]] || /etc/ssh/ssh_host_ecdsa_key.pub
* '''SHA256:''' <code>ssh-keygen -lf /etc/ssh/ssh_host_ecdsa_key.pub</code>
* '''MD5:''' <code>ssh-keygen -E md5 -lf /etc/ssh/ssh_host_ecdsa_key.pub</code>
|-
|-
| [[RSA]] ||  
| [[RSA]] || /etc/ssh/ssh_host_rsa_key.pub
* '''SHA256:''' <code>ssh-keygen -lf /etc/ssh/ssh_host_rsa_key.pub</code>
* '''MD5:''' <code>ssh-keygen -E md5 /etc/ssh/ssh_host_rsa_key.pub</code>
|-
|-
| [[DSA]] ||
| [[DSA]] || /etc/ssh/ssh_host_dsa_key.pub
* '''SHA256:''' <code>ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub</code>
* '''MD5:''' <code>ssh-keygen -E md5 /etc/ssh/ssh_host_dsa_key.pub</code>
|}
|}


Ihre Ausgabe sollte in etwa so aussehen:
; Beispiel
  <code>256 SHA256:NTw36MQjDxsHlxC/Xso5yKMlKJu93uYknRx2LEaqk7I root@6311ad8b487e6f00018c5cd1 (ED25519)</code>
  ssh-keygen -lf /etc/ssh/ssh_host_ed25519_key.pub
Wenn die Ausgabe nicht mit dem Fingerabdruck übereinstimmt, den Sie zuvor notiert haben, '''stellen Sie keine Verbindung zum Server her'''.
  256 SHA256:NTw36MQjDxsHlxC/Xso5yKMlKJu93uYknRx2LEaqk7I root@6311ad8b487e6f00018c5cd1 (ED25519)
 
Wenn die Ausgabe nicht mit dem Fingerabdruck übereinstimmt, den Sie zuvor notiert haben, '''stellen Sie keine Verbindung zum Server her!'''


[[Kategorie:SSH]]
[[Kategorie:SSH]]

Aktuelle Version vom 29. April 2024, 11:58 Uhr

Fingerabdruck eines SSH-Servers prüfen

Beschreibung

Die Überprüfung der Authentizität Ihres Servers ist wichtig, wenn Sie sich zum ersten Mal mit ihm verbinden

Authentizität eines entfernten Hosts

Warum die SSH-Fingerabdruckprüfung wichtig ist

SSH-Verbindungen sind am verwundbarsten, wenn Sie sich zum ersten Mal mit einem Server verbinden

  • Nachdem Sie zum ersten Mal eine Verbindung zu einem Server hergestellt haben, speichert der SSH-Client seinen Fingerabdruck
  • Wenn sich dieser Fingerabdruck dann ändert, weil jemand versucht, Sie mit einem bösartigen Server zu verbinden, wird Ihr SSH-Client Sie warnen, dass sich der Fingerabdruck geändert hat

Wenn Sie sich zum ersten Mal mit einem Server verbinden, war Ihr Client nicht in der Lage, seinen Fingerabdruck zu protokollieren und zu überprüfen, ob er korrekt ist

  • Daher kann ein Angreifer erfolgreich einen Man-in-the-Middle-Angriff durchführen
  • Die einzige Möglichkeit, um sicherzustellen, dass Sie sich von Anfang an mit dem richtigen Server verbinden, besteht darin, den Fingerabdruck Ihres SSH-Schlüssels manuell zu überprüfen

Fingerabdruck eines SSH-Schlüssels überprüfen

Bevor Sie Ihren Fingerabdruck überprüfen können, müssen Sie den dafür verwendeten Algorithmus kennen

  • Dieser sollte aus dem Inhalt Ihrer Nachricht hervorgehen
Die Authentizität des Hosts '172.86.75.163 (172.86.75.163)' kann nicht festgestellt werden.ED25519 key fingerprint is SHA256:NTw36MQjDxsHlxC/Xso5yKMlKJu93uYknRx2LEaqk7I.This key is not known by any other namesSind Sie sicher, dass Sie die Verbindung fortsetzen möchten (ja/nein/[fingerprint])?

Sie können sehen, dass unser Schlüssel den Algorithmus ED25519 verwendet und mit SHA256 gehasht wird

  • Sie sollten sich dies notieren, ebenso wie den Fingerabdruck selbst, in diesem Fall NTw36MQjDxsHlxC/Xso5yKMlKJu93uYknRx2LEaqk7I

Ihr Schlüsselalgorithmus könnte auch ECDSA, RSA und DSA sein, und Ihr Hashing-Algorithmus könnte MD5 statt SHA sein

Überprüfen des Fingerabdrucks auf dem Server

Loggen Sie sich über eine vertrauenswürdige Methode in Ihren Server ein

Führen Sie den Befehl ssh-keygen aus, um den Fingerabdruck Ihres Schlüssels auszulesen

SHA256
ssh-keygen -lf [Datei]]
MD5
ssh-keygen -E md5 -lf [Datei]
Datei
ED25519 /etc/ssh/ssh_host_ed25519_key.pub
ECDSA /etc/ssh/ssh_host_ecdsa_key.pub
RSA /etc/ssh/ssh_host_rsa_key.pub
DSA /etc/ssh/ssh_host_dsa_key.pub
Beispiel
 ssh-keygen -lf /etc/ssh/ssh_host_ed25519_key.pub
256 SHA256:NTw36MQjDxsHlxC/Xso5yKMlKJu93uYknRx2LEaqk7I root@6311ad8b487e6f00018c5cd1 (ED25519)

Wenn die Ausgabe nicht mit dem Fingerabdruck übereinstimmt, den Sie zuvor notiert haben, stellen Sie keine Verbindung zum Server her!