¿Qué puede causar una huella dactilar ssh modificada?

3

¿Cuáles son las posibles causas de un cambio en la huella dactilar ssh?

Un poco de contexto: después de encontrar una vulnerabilidad sensible en un sistema gubernamental y divulgarla, sucedió algo que no recuerdo que haya ocurrido antes. Cuando me conecté al VPS que usé para verificar la vulnerabilidad, mi cliente ssh se quejó de la clave; La huella digital no coincide con la guardada. Verifiqué que el que estaba guardado todavía estaba allí, y después de reiniciar inmediatamente el VPS, volvió a coincidir.

¿Cuáles son las posibilidades de que esto se deba a una interferencia malintencionada?

    
pregunta J.A.K. 28.11.2017 - 01:42
fuente

2 respuestas

5

La suposición correcta en este caso es que se está conectando a un servidor diferente.

  • Tal vez un ataque MitM o
  • tal vez su DNS esté falsificado o
  • tal vez su centro de datos haya retirado su máquina por un segundo porque recibió una llamada del gobierno y usted está intentando conectarse accidentalmente a su máquina catchall de "servidor inalcanzable" o
  • tal vez su servidor se haya estrellado bajo la carga repentina y las suspensiones mencionadas o ...

Hay muchas razones por las que puedes conectarte a la máquina incorrecta y definitivamente no deberías continuar.

También hay un par de razones inofensivas, falsos positivos que hacen que las personas a veces se conecten de todos modos.

Falsos positivos que se me ocurren ahora mismo:

  • El servidor ha eliminado un antiguo conjunto de cifrado que ya no quiere admitir.
  • La IP del servidor ha cambiado y usted tiene "CheckHostIP yes" en su configuración (por defecto en muchos sistemas).
  • Se ha conectado al mismo servidor utilizando un nombre de host diferente (piense en algo como gitlab) ya que los conjuntos de cifrado predeterminados han cambiado. (Esto es realmente oscuro, pero me he topado con él).

Tenga en cuenta que como se describe en aquí la autenticación de clave pública evita los ataques MitM. Por supuesto, no le impide simplemente iniciar sesión en la máquina incorrecta y luego escribir su contraseña de sudo. Así que todavía se requiere precaución.

    
respondido por el Elias 28.11.2017 - 10:57
fuente
1

Esto puede deberse absolutamente a que un atacante en la ruta lanza un ataque de intermediario e intenta hacerse pasar por el servidor SSH de su VPS. No tendrían la clave de host, por lo que solo presentarían la suya propia, lo que provocaría una advertencia. Otro motivo común por el que se activa este error es cuando la dirección IP del servidor al que está realizando SSHing ha cambiado. El archivo known_hosts esencialmente codifica IP, SSH Host Key Fingerprint, nombre de host. Si la huella digital de la clave de IP o SSH cambia para un nombre de host, aparecerá una advertencia.

    
respondido por el returneax 28.11.2017 - 08:19
fuente

Lea otras preguntas en las etiquetas