Saya selalu menemukan bahwa saya mendapatkan pesan ini ketika saya sshmasuk ke mesin baru:
12:f8:7e:78:61:b4:bf:e2:de:24:15:96:4e:d4:72:53
Apa artinya itu? Apakah setiap mesin memiliki sidik jari yang sama setiap saat?
Bagaimana sidik jari ini dihasilkan? Parameter apa yang mereka andalkan?
Jawaban:
Sidik jari didasarkan pada kunci Publik Host, biasanya didasarkan pada "/etc/ssh/ssh_host_rsa_key.pub" Umumnya untuk memudahkan identifikasi / verifikasi host yang Anda hubungkan.
Jika sidik jari berubah, mesin yang Anda sambungkan telah mengubah kunci publik mereka. Ini mungkin bukan hal yang buruk (terjadi dari menginstal ulang ssh), tetapi itu juga bisa menunjukkan bahwa Anda terhubung ke mesin yang berbeda di domain / IP yang sama (terjadi ketika Anda menghubungkan melalui sesuatu seperti load balancer) atau bahwa Anda sedang ditargetkan dengan serangan man-in-the-middle, di mana penyerang entah bagaimana mencegat / mengubah rute koneksi ssh Anda untuk terhubung ke host yang berbeda yang dapat mengintai pengguna Anda / pw.
Intinya: jika Anda diperingatkan tentang sidik jari yang diubah, berhati-hatilah dan periksa kembali apakah Anda benar-benar terhubung ke host yang benar melalui koneksi yang aman. Meskipun sebagian besar waktu ini tidak berbahaya, ini bisa menjadi indikasi masalah potensial
Lihat: http://www.lysium.de/blog/index.php?/archives/186-How-to-get-ssh-server-fingerprint-information.html
dan: http://en.wikipedia.org/ wiki / Public_key_fingerprint
~/.ssh/known_hosts. Dengan cara ini, ketika Anda terhubung ke server, klien SSH Anda akan mengenali server ini, karena Anda telah menyimpan kunci publiknya known_hosts. Oleh karena itu, sebenarnya Anda tidak boleh mengatakan "ya" ketika klien SSH memberi tahu Anda "Keaslian tuan rumah tidak dapat dibuat". Anda harus selalu menambahkan kunci publik dari server sebelumnya.
~/.ssh/known_hostsfile Anda sebelumnya dan tidak pernah mengatakan ya ketika klien SSH Anda memberi tahu Anda "Keaslian klien tidak dapat dibuat" atau ketika ia memberi tahu Anda "Kunci publik dari server telah diubah ".
Anda dapat membuat sidik jari untuk kunci publik menggunakan ssh-keygenseperti:
ssh-keygen -lf /path/to/key.pub
Contoh konkret (jika Anda menggunakan kunci publik RSA):
$ ssh-keygen -lf ~/.ssh/id_rsa.pub
2048 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff /Users/username/.ssh/id_rsa.pub (RSA)
Bagian pertama (2048)adalah panjang kunci dalam bit, bagian kedua (00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff)adalah sidik jari kunci publik dan bagian ketiga adalah lokasi file kunci publik itu sendiri.
ssh-keygen -lfakan melakukan apa yang Anda inginkan.
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key.pub. Ini menunjukkan sidik jari yang juga ditampilkan pada login SSH ke localhost.
ssh-keygendilaporkan sha256. Untuk mendapatkan md5sidik jari saya berlari ssh-keygen -l -E md5 -f ~/.ssh/id_rsa.pub. #archlinux
ssh -o FingerprintHash=md5atau yang setara dalam ssh_configdan pada hal-hal yang menggunakan sshsuka scp.
Sidik jari adalah MD5 atas data biner dalam kunci publik yang disandikan Base64.
$ ssh-keygen -f foo
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in foo.
Your public key has been saved in foo.pub.
The key fingerprint is:
65:30:38:96:35:56:4f:64:64:e8:e3:a4:7d:59:3e:19 andrew@localhost
The key's randomart image is:
+--[ RSA 2048]----+
| +*..+* |
| =. +.= |
| . . .o . |
| o+ E |
| S= . + o |
| . o o + |
| . . |
| |
| |
+-----------------+
$ cat foo.pub
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDEbKq5U57fhzQ3SBbs3NVmgY2ouYZfPhc6cXBNEFpRT3T100fnbkYw+EHi76nwsp+uGxk08kh4GG881DrgotptrJj2dJxXpWp/SFdVu5S9fFU6l6dCTC9IBYYCCV8PvXbBZ3oDZyyyJT7/vXSaUdbk3x9MeNlYrgItm2KY6MdHYEg8R994Sspn1sE4Ydey5DfG/WNWVrzFCI0sWI3yj4zuCcUXFz9sEG8fIYikD9rNuohiMenWjkj6oLTwZGVW2q4wRL0051XBkmfnPD/H6gqOML9MbZQ8D6/+az0yF9oD61SkifhBNBRRNaIab/Np7XD61siR8zNMG/vCKjFGICnp andrew@localhost
$ echo 'AAAAB3NzaC1yc2EAAAADAQABAAABAQDEbKq5U57fhzQ3SBbs3NVmgY2ouYZfPhc6cXBNEFpRT3T100fnbkYw+EHi76nwsp+uGxk08kh4GG881DrgotptrJj2dJxXpWp/SFdVu5S9fFU6l6dCTC9IBYYCCV8PvXbBZ3oDZyyyJT7/vXSaUdbk3x9MeNlYrgItm2KY6MdHYEg8R994Sspn1sE4Ydey5DfG/WNWVrzFCI0sWI3yj4zuCcUXFz9sEG8fIYikD9rNuohiMenWjkj6oLTwZGVW2q4wRL0051XBkmfnPD/H6gqOML9MbZQ8D6/+az0yF9oD61SkifhBNBRRNaIab/Np7XD61siR8zNMG/vCKjFGICnp' \
| base64 -D | md5
6530389635564f6464e8e3a47d593e19
Md5sum 6530389635564f6464e8e3a47d593e19 adalah sidik jari yang ditampilkan ketika kunci dihasilkan, hanya tanpa titik dua yang memisahkan.
Namun, jika Anda berurusan dengan sidik jari yang ditunjukkan Amazon di konsol EC2 Key Pairs, sayangnya itu mungkin binatang yang berbeda . Jika string hex 32-digit, ini adalah sidik jari kunci publik standar MD5 SSH di atas. Tetapi jika 40 digit hex, sebenarnya sidik jari dihitung dengan mengambil SHA1 dari kunci pribadi dalam format PKCS # 8:
$ openssl pkcs8 -in foo -nocrypt -topk8 -outform DER | openssl sha1 -c
e2:77:39:d3:53:a7:62:68:5f:da:82:0e:99:61:30:64:a2:88:c4:58
awk '{print $2}' /path/to/keyfile.pubatau serupa.
cat id_rsa.pub | cut -d' ' -f2 | base64 -d | md5sum
Jika Anda ingin memeriksa file kunci SSH untuk melihat apakah itu sama dengan apa yang dilaporkan sebagai "Deploy key" oleh github, ini untuk Anda ...
Dari URL pribadi: https://github.com/<username>/<repo_name>/settings/keys Anda akan melihat
Di terminal:
$ ls -l id*
-rw------- 1 bruno staff 1675 Mar 29 17:03 id_rsa
-rw-r--r-- 1 bruno staff 416 Mar 29 17:03 id_rsa.pub
$ ssh-keygen -E md5 -lf id_rsa
2048 MD5:07:b4:00:a4:65:ef:44:89:05:84:60:0c:c9:b2:36:5e ec2-user@ip-10-2-1-16.ec2.internal (RSA)
$ ssh-keygen -E md5 -lf id_rsa.pub
2048 MD5:07:b4:00:a4:65:ef:44:89:05:84:60:0c:c9:b2:36:5e ec2-user@ip-10-2-1-16.ec2.internal (RSA)
Anda akan melihat bahwa Anda mendapatkan sidik jari yang sama untuk kunci privat dan publik.
Perintah yang sama dapat dikombinasikan dengan fitur rapi dari GitHub, yang merupakan fakta bahwa mereka secara publik melayani kunci publik SSH pengguna di https://github.com/<username>.keys
Berikut ini adalah one-liner yang dapat Anda gunakan untuk memanfaatkannya.
$ curl -sL https://github.com/RichardBronosky.keys | while read; do echo -e "\nkey #$((++i)):"; ssh-keygen -E md5 -lf - <<<"$REPLY"; echo $REPLY; done
key #1:
2048 MD5:07:b4:00:a4:65:ef:44:89:05:84:60:0c:c9:b2:36:5e no comment (RSA)
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDJGT35gvsFveu+80qgurrLHId0h55E9jliM7Fo0mV9b7eg3EfyagkAcJUSMFkoov3HY4CW0yzOc7WlN57ABwvpRz1ioFDex0n0FkjoSEs5ROeT1OneRK6Bf6XnplgPuQ/LSSkv3kmK6I29R+YWi6TjDvLLoA5BrXJjOMfUv36jxWCDtk/5ZdhMZqhsMuDm06Jg5JBu6n5jQaZkmaIaunz7vOfwVG9LoCI+MYyIdo2S4VTva7Ee7jfAvgSUUgHTjhzsPO0/Ww5a/Kz2ehXW27aJxj/QPLfYR2LmTMbQKm3WpB8P1LjoiU7zjPoVoZ43a4P2JLUDidGKCd3eY5b5xewz
key #2:
2048 MD5:f7:98:f1:0b:73:c6:2a:21:00:7a:70:1d:0f:cf:d8:cc no comment (RSA)
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCQsZrjwKjB4WnE4SwVdDX5eEMxKzPHFBVKKpo9vvWUXRQwdTZy6iVOkyF26IPR+xDPzslzXOClKXUrWEh6La/EMpRwuMrWAbMIJFeDHOb56q4azgopoJmMJHo0yxGu0Ts4XszMACYRhlG6uK2AP5SYiOTp1zKPFjazXAdwLXyOvJurzy6KKuGJdSs/sj9+4uehgyRNOhehCSfg71tJJYwRvO2DDfLgaVEKOgZx58gEnJfhhz9D7rbvdZNhw/hCgtVNJaQF9Mdke2OPwWSo8i0/XNb9Bu/GRXqwMZrxDBhyzieocW40cwuzxWfzoi03aISdtQ1HtawH8+/sswviM1+B
ssh-keygen -r host.name.com
Akan menampilkan sidik jari untuk semua kunci publik yang dikonfigurasi pada instance sshd.
Ini kemudian dapat dimasukkan ke dalam catatan DNS SSHFP .