|
|
| Zeile 74: |
Zeile 74: |
|
| |
|
| </noinclude> | | </noinclude> |
|
| |
| = TMP =
| |
| == Beschreibung ==
| |
| Die Überprüfung der Authentizität Ihres Servers ist wichtig, wenn Sie sich zum ersten Mal mit ihm verbinden
| |
|
| |
| == Authentizität eines entfernten Hosts ==
| |
| ; Warum die SSH-Fingerabdruckprüfung wichtig ist
| |
| SSH-Verbindungen sind am verwundbarsten, wenn Sie sich zum ersten Mal mit einem Server verbinden
| |
| * Nachdem Sie zum ersten Mal eine Verbindung zu einem Server hergestellt haben, speichert der SSH-Client seinen Fingerabdruck
| |
|
| |
| * Wenn sich dieser Fingerabdruck dann ändert, weil jemand versucht, Sie mit einem bösartigen Server zu verbinden, wird Ihr SSH-Client Sie warnen, dass sich der Fingerabdruck geändert hat
| |
|
| |
| Wenn Sie sich zum ersten Mal mit einem Server verbinden, war Ihr Client nicht in der Lage, seinen Fingerabdruck zu protokollieren und zu überprüfen, ob er korrekt ist
| |
| * Daher kann ein Angreifer erfolgreich einen Man-in-the-Middle-Angriff durchführen
| |
| * Die einzige Möglichkeit, um sicherzustellen, dass Sie sich von Anfang an mit dem richtigen Server verbinden, besteht darin, den Fingerabdruck Ihres SSH-Schlüssels manuell zu überprüfen
| |
|
| |
| == Fingerabdruck eines SSH-Schlüssels überprüfen ==
| |
| Bevor Sie Ihren Fingerabdruck überprüfen können, müssen Sie den dafür verwendeten Algorithmus kennen
| |
| * Dieser sollte aus dem Inhalt Ihrer Nachricht hervorgehen
| |
| <code>Die Authentizität des Hosts '172.86.75.163 (172.86.75.163)' kann nicht festgestellt werden.ED25519 key fingerprint is SHA256:NTw36MQjDxsHlxC/Xso5yKMlKJu93uYknRx2LEaqk7I.This key is not known by any other namesSind Sie sicher, dass Sie die Verbindung fortsetzen möchten (ja/nein/[fingerprint])?</code>
| |
| Sie können sehen, dass unser Schlüssel den Algorithmus '''ED25519''' verwendet und mit '''SHA256''' gehasht wird
| |
| * Sie sollten sich dies notieren, ebenso wie den Fingerabdruck selbst, in diesem Fall <code>NTw36MQjDxsHlxC/Xso5yKMlKJu93uYknRx2LEaqk7I</code>
| |
|
| |
| Ihr Schlüsselalgorithmus könnte auch ECDSA, RSA und DSA sein, und Ihr Hashing-Algorithmus könnte MD5 statt SHA sein
| |
|
| |
| == Überprüfen des Fingerabdrucks auf dem Server ==
| |
| Loggen Sie sich über eine vertrauenswürdige Methode in Ihren Server ein
| |
|
| |
| Führen Sie den Befehl ssh-keygen aus, um den Fingerabdruck Ihres Schlüssels auszulesen
| |
| ; SHA256
| |
| ssh-keygen -lf [Datei]]
| |
|
| |
| ; MD5
| |
| ssh-keygen -E md5 -lf [Datei]
| |
|
| |
| {| class="wikitable options"
| |
| |-
| |
| ! !! Datei
| |
| |-
| |
| | [[ED25519]] || /etc/ssh/ssh_host_ed25519_key.pub
| |
| |-
| |
| | [[ECDSA]] || /etc/ssh/ssh_host_ecdsa_key.pub
| |
| |-
| |
| | [[RSA]] || /etc/ssh/ssh_host_rsa_key.pub
| |
| |-
| |
| | [[DSA]] || /etc/ssh/ssh_host_dsa_key.pub
| |
| |}
| |
|
| |
| ; Beispiel
| |
| ssh-keygen -lf /etc/ssh/ssh_host_ed25519_key.pub
| |
| 256 SHA256:NTw36MQjDxsHlxC/Xso5yKMlKJu93uYknRx2LEaqk7I root@6311ad8b487e6f00018c5cd1 (ED25519)
| |
|
| |
| Wenn die Ausgabe nicht mit dem Fingerabdruck übereinstimmt, den Sie zuvor notiert haben, '''stellen Sie keine Verbindung zum Server her!'''
| |
SSH/Fingerprint - Fingerabdruck eines SSH-Servers prüfen
Beschreibung
Installation
Aufruf
Optionen
| Unix |
GNU |
Parameter |
Beschreibung
|
|
|
|
|
Parameter
Umgebungsvariablen
Exit-Status
| Wert |
Beschreibung
|
| 0 |
Erfolg
|
| >0 |
Fehler
|
Anwendung
Problembehebung
Konfiguration
Dateien
Anhang
Siehe auch
Dokumentation
- Man-Page
- prep(1)
Links
Projekt
Weblinks