118 votes

cliss avatar

SSH : L'authenticité de l'hôte <host> ne peut être établie

Demandé el 6 de Mai, 2012
Quand la question a-t-elle été
344392 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Que signifie ce message ? S'agit-il d'un problème potentiel ? Le canal n'est-il pas sécurisé ?

Ou est-ce simplement un message par défaut qui est toujours affiché lors de la connexion à un nouveau serveur ?

J'ai l'habitude de voir ce message lorsque j'utilise SSH dans le passé : J'ai toujours entré mon login avec un mot de passe de la manière normale, et je me sentais bien à ce sujet parce que je ne faisais pas usage de clés privées/publiques (ce qui est beaucoup plus sûr qu'un mot de passe court). Mais cette fois-ci, j'ai configuré une clé publique avec ssh pour ma connexion à bitbucket, mais j'ai toujours reçu le message. Je suis conscient que l'invite de phrase de passe à la fin est une mesure de sécurité différente, supplémentaire, pour le décryptage de la clé privée.

J'espère que quelqu'un pourra donner une bonne explication sur ce que signifie ce message "l'authenticité ne peut être établie".

The authenticity of host 'bitbucket.org (207.223.240.181)' can't be established.

RSA key fingerprint is 97:8c:1b:f2:6f:14:6b:5c:3b:ec:aa:46:46:74:7c:40.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'bitbucket.org,207.223.240.181' (RSA) to the list of
known hosts.
Enter passphrase for key '/c/Users/Steven/.ssh/id_rsa':
Demandé el 6 de Mai, 2012 par cliss

Réponses

Trop de publicités?

95voto

Ben Voigt avatar
Ben Voigt Points 6887

Il vous dit que vous ne vous êtes jamais connecté à ce serveur auparavant. Si vous vous y attendiez, c'est parfaitement normal. Si vous êtes paranoïaque, vérifiez la somme de contrôle/l'empreinte digitale de la clé en utilisant un autre canal. (Mais notez que quelqu'un qui peut rediriger votre connexion ssh peut également rediriger une session de navigateur Web).

Si vous vous êtes déjà connecté à ce serveur avec cette installation de ssh, alors soit le serveur a été reconfiguré avec une nouvelle clé, soit quelqu'un usurpe l'identité du serveur. En raison de la gravité d'une attaque de type "man-in-the-middle", nous vous avertissons de cette possibilité.

Dans tous les cas, vous avez un canal crypté sécurisé pour quelqu'un . Personne sans la clé privée correspondant à l'empreinte digitale 97:8c:1b:f2:6f:14:6b:5c:3b:ec:aa:46:46:74:7c:40 peut décoder ce que vous envoyez.

La clé que vous utilisez pour vous authentifier n'a aucun rapport... vous ne voudriez pas envoyer des informations d'authentification à un serveur frauduleux qui pourrait les voler, et donc vous ne devez pas vous attendre à des changements selon que vous allez utiliser une phrase de passe ou une clé privée pour vous connecter. Vous n'êtes tout simplement pas encore arrivé à ce stade du processus.

Répondu el 6 de Mai, 2012 par Ben Voigt (6887 Points )

43voto

Jim avatar
Jim Points 21

Disons que vous rencontrez quelqu'un pour échanger des secrets d'affaires. Votre conseiller vous dit que vous n'avez jamais rencontré cette personne auparavant, et qu'il peut s'agir d'un imposteur. De plus, pour les prochaines rencontres avec lui, votre conseiller ne va plus vous mettre en garde. C'est ce que signifie le message. La personne est le serveur distant, et votre conseiller est le client ssh.

Je ne pense pas qu'il soit paranoïaque de vérifier l'identité de la personne avant de partager des secrets avec elle. Par exemple, vous pouvez ouvrir une page web avec une photo d'elle et la comparer avec le visage que vous avez devant vous. Ou vérifier sa carte d'identité.

Pour le serveur bitbucket, vous pouvez utiliser un ordinateur différent, plus fiable, et obtenir l'adresse du serveur. photo de son visage et comparez-la avec celle de l'ordinateur que vous utilisez actuellement. Utilisez :

 ssh-keyscan -t rsa bitbucket.org | ssh-keygen -lv -f -

Si le visages vous pouvez ajouter la clé au fichier, par exemple. ~/.ssh/known_hosts (emplacement standard dans de nombreuses distributions Linux) avec :

ssh-keyscan -t rsa -H bitbucket.org >> ~/.ssh/known_hosts

et le client ssh ne vous préviendra pas car il sait déjà son visage . Il comparera les visages à chaque fois que vous vous connectez. C'est très important. Dans le cas d'un imposteur (par exemple une attaque de type man-in-the-middle), le client ssh rejettera la connexion parce que le visage aura changé.

Répondu el 10 de Août, 2016 par Jim (21 Points )

6voto

Dominic avatar
Dominic Points 2812

Il existe un autre moyen facile Il suffit de toucher un config fichier sous /root/.ssh et ajoutez le paramètre

StrictHostKeyChecking no

La prochaine fois que vous vous connecterez à un serveur, cette clé RSA sera ajoutée à la liste des clés de sécurité. known_hosts et ne demande pas de "oui" pour la confirmation de l'authenticité.

Répondu el 16 de Décembre, 2014 par Dominic (2812 Points )

5voto

PlankTon avatar
PlankTon Points 4551

J'ai simplement dû créer le known_hosts fichier texte dans ~/.ssh

sudo vim ~/.ssh/known_hosts
sudo chmod 777 ~/.ssh/known_hosts

Après avoir fait cela, il a ajouté l'hôte et je n'ai plus jamais vu le message.

Répondu el 16 de Juillet, 2014 par PlankTon (4551 Points )

1voto

Fowljewl avatar
Fowljewl Points 1

Ce message est simplement un message de SSH vous indiquant qu'il n'a jamais vu cette clé d'hôte particulière auparavant, et qu'il n'est donc pas en mesure de vérifier réellement que vous vous connectez à l'hôte que vous pensez être. Lorsque vous dites "Oui", il place la clé ssh dans votre fichier known_hosts, et lors des connexions suivantes, il comparera la clé obtenue de l'hôte à celle du fichier known_hosts.

Il y avait un article connexe sur stack overflow montrant comment désactiver cet avertissement, https://stackoverflow.com/questions/3663895/ssh-the-authenticity-of-host-hostname-cant-be-established .

Répondu el 6 de Mai, 2012 par Fowljewl (1 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X