¿Las diferentes versiones de SSH dan diferentes VisualHostKeys?

Navega tus respuestas
3

Soy SSHing a un servidor a través de SSH de Cygwin y a través de SSH de Ubuntu 14.04.

  • Versión de Cygwin: OpenSSH_7.1p2, OpenSSL 1.0.2e 3 de diciembre de 2015
  • Versión de Ubuntu: OpenSSH_6.6.1p1 Ubuntu-2ubuntu2.4, OpenSSL 1.0.1f 6 de enero de 2014

Cuando me conecto a un servidor en nuestra red por IP, obtengo lo siguiente:

En Cygwin: 

Host key fingerprint is SHA256:0F6lOu97wCE/BSQZxLNzGNVsHfilI9EobN6nZEKPr+Y
+---[RSA 2048]----+
|       o+*oo.=.. |
|       .=.*oB o .|
|      . .OoB o o |
|       o=o* B =  |
|        S* B + . |
|         o= o    |
|          .+     |
|         .o .    |
|         oEo     |
+----[SHA256]-----+

En Ubuntu: 

Host key fingerprint is a8:87:04:f8:94:ab:d4:3b:39:4c:68:a9:b1:1e:c7:02
+--[ RSA 2048]----+
|                 |
| . .             |
|. +              |
| o+o   .         |
|E=oo. . S        |
|=++.oo           |
|+o Oo .          |
|. + o.           |
| .               |
+-----------------+

Las huellas dactilares de la clave del host parecen ser de formatos diferentes, lo que está bien. Sin embargo, lo que me preocupa es que VisualHostKey es diferente. ¿Es esto lo que se espera?

    
pregunta Mitch 04.02.2016 - 17:13
fuente

2 respuestas

2

El problema está en que el randomart se basa en la huella digital y no en la clave en sí. Esto implica que los hashes son diferentes y, por lo tanto, las artes ASCII también. Por ejemplo, mi salida cuando se utiliza la misma versión de cliente y la misma clave: 

Host key fingerprint is SHA256:v0I6xgzhRSheT19KVcglIbLven9u/xAaVC/GlpjODpo
+---[ECDSA 256]---+
|     .. .o+=o .  |
|  . o oo..+. = o |
| . o +.o o  + * .|
|  . . o.o  + o . |
|   . o  S . + .  |
|    o  ..+ o o . |
|     + oE . o .  |
|      *.o  .o  . |
|     ..o oo+.....|
+----[SHA256]-----+
Host key fingerprint is MD5:22:0c:a2:6b:87:80:26:ee:0f:5c:62:1d:5c:e1:cd:48
+---[ECDSA 256]---+
|     E.          |
|  . + +          |
|. .o o o         |
|o..o.            |
|=+ oo . S        |
|B.+  . .         |
|.* .             |
|o o              |
| ...             |
+------[MD5]------+

La raíz del cambio es que md5 está obsoleto y la nueva versión usa sha256 de forma predeterminada. Pero aún así puede forzar al cliente a usar la versión md5, lo que debería resultar en el mismo inicio aleatorio: 

ssh -oFingerprintHash=md5 you_host

o con la opción en ssh_config : 

FingerprintHash md5
    
respondido por el Jakuje 04.02.2016 - 18:27
fuente
0

Mirando la fuente y hasta donde puedo ver, Es completamente aleatorio.

Una nota de la documentación:

  

Si ves que la imagen es diferente, la clave es diferente.
  Si la imagen se ve igual, todavía no sabes nada.
  El algoritmo utilizado aquí es un gusano que se arrastra sobre un plano discreto, dejando un rastro (aumentando el campo) en todas partes.
  El movimiento se toma de dgst_raw 2bit-wise. Chocando contra las paredes   hace lo respectivo   Se ignorará el vector de movimiento para este turno.
   Los graficos no son   No es ambiguo, porque los círculos en los gráficos se pueden caminar en cualquiera   dirección.

Si lo necesita, puede deshabilitar las VisualHostKeys editando el archivo de configuración (generalmente ~ / .ssh / config): 

Host *
    VisualHostKey       yes
    
respondido por el Purefan 04.02.2016 - 17:20
fuente

Lea otras preguntas en las etiquetas

OpenSSH 7.0 Pregunta sobre múltiples vulnerabilidades return-to-libc attack