"arreglar" el hombre en el medio

7

Acabo de intentar conectar ssh a un servidor (autentificar a través de la clave ssh) y obtener el conocido mensaje WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! . Soy el administrador del servidor (pero no soy realmente un buen administrador del servidor) y no cambia nada en este servidor. Otro compañero de trabajo puede ir a este servidor (se autentica a través de la clave ssh también) y no tiene el error. Y otro servidor puede conectarse a este servidor (autenticación a través de la clave ssh).

Así que esto solo me pasa a mí. Regenero la clave con ssh-keygen -R xxx.xxx.xxx.xxx , y ahora no hay problema. Ahora todo está "bien", pero no sé si hay un problema de seguridad. Haciendo eso, ¿arreglé al hombre en el problema del medio, o estoy expuesto? ¿Qué debo hacer si es así?

En otras palabras, mi pregunta es: ¿Debo entrar en pánico?

Otra pregunta adicional: ¿es el lugar adecuado para hacer este tipo de pregunta?

P.S: el tipo de clave era ssh-rsa y ahora es ecdsa-sha2-nistp256 . No sé por qué, sigue siendo ssh-rsa para mi compañero de trabajo

    
pregunta rap-2-h 19.10.2015 - 18:05
fuente

1 respuesta

2
  

Regenero la clave con ssh-keygen -R xxx.xxx.xxx.xxx

Esto no es una regeneración clave! Es la eliminación de la clave de su archivo known_hosts . ¡Si hubiera un intermediario, el atacante ahora puede autenticarse en su servidor!

Debería verificar las claves del servidor desde su máquina y desde su compañero de trabajo si le proporciona el mismo conjunto (una buena herramienta para obtener todas las claves ssh públicas del servidor es ssh-keyscan ). Es normal que el servidor tenga más claves diferentes (y tipos de claves), pero sin saber qué había en su archivo known_hosts antes de que lo eliminara, no tiene oportunidad de averiguar qué causó el problema.

Si aún tiene la clave pública anterior de known_hosts , antes de eliminarla, verifique qué clave ha guardado su compañero de trabajo para ese servidor y cuáles son las claves reales en el servidor (preferiblemente mediante el acceso físico al servidor). , pero también el ssh-keyscan puede ayudar). Si difiere en algún lugar, debe investigar más a fondo su infraestructura o su máquina y servidor, porque entonces puede haber algún problema real.

    
respondido por el Jakuje 19.10.2015 - 18:32
fuente

Lea otras preguntas en las etiquetas