Trường hợp vân tay SSH Server được tạo / lưu trữ?

Tôi đã cài đặt openssh-server và tạo một khóa với ssh-keygen. Sau đó tôi đã thử kiểm tra nó bằng cách sử dụng chuyển tiếp cổng cục bộ bằng cách thực hiện ssh -L 8080:www.nytimes.com:80 127.0.0.1. Tuy nhiên, dấu vân tay chính mà lệnh này cung cấp không phải là dấu vân tay chính tôi nhận được khi thực hiện ssh-keygen -l. Ngay cả khi tôi xóa thư mục .ssh của mình, tôi vẫn nhận được cùng dấu vân tay, đây không phải là thư mục tôi đã tạo ssh-keygen. Có một chìa khóa khác trên hệ thống của tôi? Chìa khóa này ở đâu? Làm cách nào tôi có thể chọn khóa này để sử dụng bởi openssh-server?

Khi bạn thực hiện phiên SSH, có hai cặp khóa khác nhau (có dấu vân tay cho mỗi cặp). Một là khóa của người dùng được lưu trữ trong ~/.ssh. Nhận dạng khóa SSH của người dùng đôi khi được sử dụng làm thông tin đăng nhập vào máy tính khác (nếu bạn đã thiết lập đăng nhập dựa trên khóa).

Cái còn lại là khóa của máy chủ SSH. Đây là chìa khóa bạn nhìn thấy dấu vân tay khi bạn kết nối với một máy chủ khác lần đầu tiên. Danh tính của khóa này được sử dụng để đảm bảo bạn đang đăng nhập vào máy chủ SSH mà bạn dự định. Điều này rất quan trọng nếu bạn đang sử dụng mật khẩu vì bạn sẽ không muốn vô tình thử đăng nhập vào máy tấn công: kẻ tấn công sẽ lấy được mật khẩu của bạn khi bạn nhập mật khẩu. Sau đó, kẻ tấn công có thể đăng nhập vào máy bạn nghĩ bạn đang đăng nhập đến! (cái này được gọi là "người đàn ông trong cuộc tấn công trung gian" ) Các khóa mà máy chủ SSH sử dụng để nhận dạng chính nó khi bạn đăng nhập vào nó /etc/ssh/và được đặt tên như thế ssh_host_rsa_key.

Bạn thực sự có thể thay đổi nơi máy chủ SSH tìm khóa trong tệp với cài đặt./etc/ssh/sshd_configHostKey /path/to/host/key

Theo mặc định, ssh-keygensẽ tạo một khóa cho người dùng hiện tại, theo mặc định, sẽ được lưu trữ trong ~/.ssh. Định dạng của khóa người dùng và khóa máy chủ là như nhau; sự khác biệt là nơi chúng được đặt và liệu /etc/ssh/sshd_configcó HostKeychỉ thị cho chúng hay không. Khi bạn cài đặt gói openssh-server, nó sẽ tự động tạo khóa cho máy chủ sử dụng. Đó là nơi mà các phím có dấu vân tay không xác định đến từ. Nếu bạn muốn xem dấu vân tay của khóa máy chủ SSH (RSA *), bạn có thể chạy ssh-keygen -lf /etc/ssh/ssh_host_rsa_key.pub.

* Có các thuật toán mã hóa khác nhau. Mỗi người sử dụng một khóa khác nhau. Những cái phổ biến là DSA (yếu), RSA (mặc định cũ) và ECDSA (mặc định mới).

Khóa máy chủ SSH được lưu trữ trong /etc/ssh/đó bạn thường không cần phải chọn. Các khóa này được tạo khi gói máy chủ openssh được cài đặt.

Bạn có thể liệt kê dấu vân tay của các phím bằng cách ssh-keygen -l -f /etc/ssh/ssh_host_key.pubmặc dù bạn sẽ cần lặp lại điều này cho mỗi khóa chung.

ssh-keygenkhông tạo dấu vân tay SSH tại máy chủ của bạn. Điều đó được tạo bởi máy chủ SSH. ssh-keygentạo một cặp khóa công khai / riêng cho hệ thống của bạn mà sau này bạn có thể sử dụng để truy cập máy chủ SSH của mình mà không phải truyền mật mã văn bản đơn giản đến máy chủ.

Dấu vân tay của máy chủ của bạn rõ ràng sẽ không hiển thị dưới dạng dấu vân tay của cặp khóa chung / riêng mà bạn đã tạo, vì chúng tách biệt với nhau.