내가 이것을 시도하면
ssh jh@jh-System-Product-Name
잘 작동합니다.
Welcome to Ubuntu 16.04.3 LTS (GNU/Linux 4.10.0-40-generic x86_64)
* Documentation: https://help.ubuntu.com
* Management: https://landscape.canonical.com
* Support: https://ubuntu.com/advantage
반면에
ssh localhost
The authenticity of host 'localhost (127.0.0.1)' can't be established.
ECDSA key fingerprint is SHA256:gsLR5X+7Im1MdPch7u8Jlvm0ql6PH0rDBsWnpOpizd4.
Are you sure you want to continue connecting (yes/no)? no
무슨 뜻이에요?
답변1
짧은 답변
이는 다음 중 하나를 의미합니다.
- 을(를) 통해 로컬 시스템에 연결한 적이 없습니다
ssh. - 시스템에 새 호스트 키가 생성되었습니다.
의견의 정보를 포함하는 더 긴 답변
SSH는처음 사용할 때 신뢰(TOFU)체계. 이는 연결 시스템에 항상 신뢰하는 알려진 호스트 목록이 있음을 의미합니다. 이전에 알려지지 않은 원격 연결이 설정된 경우 연결하는 사용자가 검토하고 수락하거나 거부할 수 있도록 원격 시스템의 호스트 키가 표시됩니다. 새 호스트가 승인되면 호스트 키는 항상 신뢰할 수 있는 알려진 호스트의 로컬 목록에 추가됩니다.
SSH가 가장 취약한 부분이 바로 여기입니다. 도메인 명 시스템대부분의 도메인 조회는 다음을 제외하면 안전하지 않습니다.DNSSEC배포되었습니다. 따라서 공격자가 DNS를 스푸핑하여 원격 시스템처럼 보이게 만들 수 있습니다. 이 경우 호스트 키가 일치하지 않지만 많은 사용자는 어쨌든 호스트 키를 확인하지 않습니다. 따라서 비밀번호 인증과 함께 SSH를 사용하는 경우 원격 공격자가 MITM(Man-In-The-Middle) 방법을 통해 SSH 연결을 설정하고 호스트 키가 정확하지 않고 연결하는 사용자가 너무 게으른 경우 사용자 이름과 비밀번호를 가로챌 수 있습니다. 확인하다.
sshfpSSH Fingerprint(SSH Fingerprint) 라는 완화된 DNS 레코드가 있습니다 . 이것sshfp기록도메인 소유자가 DNS 영역 파일에 입력했습니다. 도메인에 연결된 시스템은 sshfp기록을 확인합니다. 기록이 발견되면 지문이 확인됩니다. 이렇게 하면 연결 시스템이 TOFU 신뢰 모델의 잘못된 원격 호스트에 연결되는 것을 방지할 수 있습니다. 그러나 대부분의 DNS 공급자는 sshfp레코드 유형을 지원하지 않습니다. 따라서 대부분의 ssh연결은 DNS 스푸핑으로부터 보호되지 않습니다.
따라서 이전에 연결했지만 새 호스트 키를 표시하는 원격 시스템에 연결할 때는 주의하십시오. 우려사항에 대한 귀하의 답변은 훌륭합니다. 그러나 이 경우에는 근거가 없을 가능성이 높습니다.