Có phải thiết lập tính xác thực của máy chủ lưu trữ trên máy chủ của SSH trong SSH phản ánh rủi ro bảo mật không?

Bất cứ khi nào tôi kết nối với máy chủ SSH mới từ máy tính của mình, tôi nhận được thông báo này:

The authenticity of host '[censored]:censored ([0.0.0.0]:censored)' can't be established.
RSA key fingerprint is SHA256:censored.
Are you sure you want to continue connecting (yes/no)?

Tại sao SSH hỏi tôi điều đó?

Tôi có bất kỳ rủi ro nào khi kết nối với máy chủ SSH ngẫu nhiên không?

Hay đây chỉ là để đảm bảo máy chủ bạn đang kết nối chưa bị hack?

Nó hỏi bạn bởi vì nó chưa bao giờ kết nối với máy chủ này trước đây.

Nếu bạn ở trong một môi trường an toàn, thì bạn sẽ biết dấu vân tay của máy chủ từ xa và sẽ so sánh nó trên kết nối đầu tiên - nếu dấu vân tay khớp với những gì bạn biết thì thật tuyệt vời. Nếu bạn đang ở trong một môi trường kém an toàn hơn, thì bạn có thể chấp nhận nó trên kết nối đầu tiên.

Khi bạn đã nói " Có, tôi tin tưởng khóa máy chủ đó và muốn nó được liên kết với tên máy chủ / IP đó ", ứng dụng khách SSH sẽ ghi nhớ điều này cho bạn ... Nếu vì bất kỳ lý do gì (cài đặt lại / khóa máy chủ mới / mới máy / người ở giữa) phím không khớp với kết nối tiếp theo, bạn sẽ thấy cảnh báo như bên dưới:

$ ssh baloo
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
SHA256:Su0uy/4BcRcpmyLfxO9ndlcda52F8uct6yWNp7Sa92M.
Please contact your system administrator.
Add correct host key in /home/attie/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /home/attie/.ssh/known_hosts:65
  remove with:
  ssh-keygen -f "/home/attie/.ssh/known_hosts" -R baloo
ECDSA host key for baloo has changed and you have requested strict checking.
Host key verification failed.

Trong tình huống này, nếu bạn biết rằng máy chủ từ xa thực sự đã bị thay đổi, thì bạn có thể tiến hành ... có thể xác minh rằng dấu vân tay là chính xác.

Nếu bạn không chắc chắn, hoặc biết rằng máy chủ từ xa không nên thay đổi, thì nó sẽ đầu mối cho bạn vào một cuộc tấn công tiềm năng.

Khi bạn nhận được thông báo này, SSH chỉ đơn giản nói rằng "Tôi chưa bao giờ thấy máy tính này trước đây vì vậy tôi không thể chắc chắn đó là ai nói nó là ai. Bạn có tin tưởng không?" Tại thời điểm đó bạn có thể nói rằng bạn tin tưởng nó và trong tương lai máy tính của bạn sẽ nhớ và không hỏi lại bạn.

Lý tưởng nhất là tin tưởng bạn nên so sánh khóa được cung cấp với khóa trên máy chủ theo cách thủ công (vì bạn sẽ tin tưởng vào khóa GPG bằng cách kiểm tra xem người mà bạn tin rằng nó thuộc về có thể thực sự tạo ra khóa chung). Mặc dù trong thực tế mọi người không bận tâm đến điều này (ít nhất là từ kiến ​​thức của tôi).

Lợi ích thực sự đến từ mỗi lần bạn kết nối với máy chủ. Nếu SSH phàn nàn về máy chủ mà bạn đã tin tưởng không phải là cùng một máy chủ thì có khả năng bạn là nạn nhân của một cuộc tấn công MiTM.

Trên tất cả nếu bạn ở trên một mạng mà bạn tự tin sẽ không có cuộc tấn công Man in The Middle nào xảy ra và đây là lần đầu tiên bạn kết nối với máy tính thì bạn nên an toàn chấp nhận khóa. (mặc dù nếu bạn đang làm việc với một số nhiệm vụ chính phủ bí mật hàng đầu thì có thể yêu cầu quản trị viên hệ thống của bạn xác minh dấu vân tay trước khi kết nối)