|
|
| (38 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
| Zeile 1: |
Zeile 1: |
| '''Fingerabdruck eines SSH-Schlüssels prüfen'''
| | #WEITERLEITUNG [[SSH/Hostkey#Fingerabdruck_prüfen]] |
| | |
| == Beschreibung ==
| |
| === Authentizität des entfernten Hosts ===
| |
| Die Überprüfung der Authentizität Ihres Servers ist wichtig, wenn Sie sich zum ersten Mal mit ihm verbinden.
| |
| | |
| Wenn Sie SSH schon einmal benutzt haben, werden Sie die Warnung "Die Authentizität des Hosts kann nicht festgestellt werden" bemerkt haben.
| |
| * Dies geschieht, wenn Sie zum ersten Mal versuchen, sich mit einem Server zu verbinden.
| |
| * Obwohl es verlockend ist, diese Warnung einfach zu ignorieren und <code>y</code> zu drücken, empfehlen wir Ihnen, stattdessen den SSH-Fingerabdruck zu überprüfen, um sicherzustellen, dass er übereinstimmt.
| |
| * Wir werden weiter unten erklären, warum.
| |
| | |
| ; Warum die SSH-Fingerabdruckprüfung wichtig ist
| |
| SSH-Verbindungen sind am verwundbarsten, wenn Sie sich zum ersten Mal mit einem Server verbinden.
| |
| * Nachdem Sie zum ersten Mal eine Verbindung zu einem Server hergestellt haben, speichert der SSH-Client seinen Fingerabdruck.
| |
| * Wenn sich dieser Fingerabdruck dann ändert, d. h. wenn jemand versucht, Sie mit einem bösartigen Server zu verbinden, wird Ihr SSH-Client Sie warnen, dass sich der Fingerabdruck geändert hat.
| |
| | |
| Wenn Sie sich zum ersten Mal mit einem Server verbinden, war Ihr Client nicht in der Lage, seinen Fingerabdruck zu protokollieren und zu überprüfen, ob er korrekt ist.
| |
| * Daher kann ein Angreifer erfolgreich einen Man-in-the-Middle-Angriff durchführen.
| |
| * Die einzige Möglichkeit, um sicherzustellen, dass Sie sich von Anfang an mit dem richtigen Server verbinden, besteht darin, den Fingerabdruck Ihres SSH-Schlüssels manuell zu überprüfen.
| |
| | |
| == Fingerabdruck eines SSH-Schlüssels überprüfen ==
| |
| Bevor Sie Ihren Fingerabdruck überprüfen können, müssen Sie den dafür verwendeten Algorithmus kennen.
| |
| * Dieser sollte aus dem Inhalt Ihrer Nachricht hervorgehen.
| |
| <code>Die Authentizität des Hosts '172.86.75.163 (172.86.75.163)' kann nicht festgestellt werden.ED25519 key fingerprint is SHA256:NTw36MQjDxsHlxC/Xso5yKMlKJu93uYknRx2LEaqk7I.This key is not known by any other namesSind Sie sicher, dass Sie die Verbindung fortsetzen möchten (ja/nein/[fingerprint])?</code>
| |
| Sie können sehen, dass unser Schlüssel den Algorithmus '''ED25519''' verwendet und mit '''SHA256''' gehasht wird.
| |
| * Sie sollten sich dies notieren, ebenso wie den Fingerabdruck selbst, in diesem Fall <code>NTw36MQjDxsHlxC/Xso5yKMlKJu93uYknRx2LEaqk7I</code>.
| |
| | |
| Ihr Schlüsselalgorithmus könnte auch ECDSA, RSA und DSA sein, und Ihr Hashing-Algorithmus könnte MD5 statt SHA sein.
| |
| | |
| === Überprüfen des Fingerabdrucks auf dem Server ===
| |
| Loggen Sie sich über eine vertrauenswürdige Methode in Ihren Server ein
| |
| | |
| Führen Sie den Befehl ssh-keygen aus, um den Fingerabdruck Ihres Schlüssels auszulesen
| |
| ssh-keygen -lf [Datei]]
| |
| | |
| {| class="wikitable options"
| |
| |-
| |
| ! Option !! Beschreibung
| |
| |-
| |
| | [[ED25519]] || '''SHA256:''' <code>ssh-keygen -lf /etc/ssh/ssh_host_ed25519_key.pub</code><br>
| |
| '''MD5:''' <code>ssh-keygen -E md5 -lf /etc/ssh/ssh_host_ed25519_key.pub</code>
| |
| |-
| |
| | [[ECDSA]] ||
| |
| * '''SHA256:''' <code>ssh-keygen -lf /etc/ssh/ssh_host_ecdsa_key.pub</code>
| |
| * '''MD5:''' <code>ssh-keygen -E md5 -lf /etc/ssh/ssh_host_ecdsa_key.pub</code>
| |
| |-
| |
| | [[RSA]] ||
| |
| * '''SHA256:''' <code>ssh-keygen -lf /etc/ssh/ssh_host_rsa_key.pub</code>
| |
| * '''MD5:''' <code>ssh-keygen -E md5 /etc/ssh/ssh_host_rsa_key.pub</code>
| |
| |-
| |
| | [[DSA]] ||
| |
| * '''SHA256:''' <code>ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub</code>
| |
| * '''MD5:''' <code>ssh-keygen -E md5 /etc/ssh/ssh_host_dsa_key.pub</code>
| |
| |}
| |
| | |
| Ihre Ausgabe sollte in etwa so aussehen:
| |
| <code>256 SHA256:NTw36MQjDxsHlxC/Xso5yKMlKJu93uYknRx2LEaqk7I root@6311ad8b487e6f00018c5cd1 (ED25519)</code>
| |
| Wenn die Ausgabe nicht mit dem Fingerabdruck übereinstimmt, den Sie zuvor notiert haben, '''stellen Sie keine Verbindung zum Server her'''.
| |
| | |
| [[Kategorie:SSH]]
| |