ssh 在登陆时密码是绝对安全不会被嗅探的么?

2015-10-29 23:08:24 +08:00
 scaldstack
6938 次点击
所在节点    Linux
22 条回复
zts1993
2015-10-29 23:12:37 +08:00
谁告诉你的。。。

第一次登陆就很有可能被中间人。。
squid157
2015-10-29 23:26:13 +08:00
@zts1993 那个 key fingerprint 那么长 能那么容易碰撞上么
xfspace
2015-10-29 23:28:33 +08:00
没有绝对的安全,除非完全隔绝互联网,独建网络 only you 使用。
datocp
2015-10-29 23:37:53 +08:00
不是说建个受限用户自动登录,然后 su 提权吗。
cxbig
2015-10-29 23:42:51 +08:00
都 ssh 了不用 ssh key ?
onlyxuyang
2015-10-29 23:50:39 +08:00
没看过 ssh 协议,但是感觉第一次是有可能不安全。除非和 https 一样有授权中心....
dant
2015-10-30 00:32:03 +08:00
@onlyxuyang 第一次连接时显示 host key ,并询问是否信任
onlyxuyang
2015-10-30 00:51:51 +08:00
@dant 要是中间人给你发 host key 呢…… 一般人不会特意去检查或者机要登录主机的 host key 吧
lianz
2015-10-30 01:13:35 +08:00
@onlyxuyang
1. https 并没有所谓的授权中心,系统是是靠内置的根证书来判断证书是否可信的。
2. SSH 的 Key 变了客户端会警告,要你点是否信任,你要是傻乎乎地点了信任,那什么安全协议都没有用。
lianz
2015-10-30 01:18:11 +08:00
@onlyxuyang 给你个例子,这是服务器重装后连接上去的时候的警告:

$ ssh my**.com
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: POSSIBLE DNS SPOOFING DETECTED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
The RSA host key for my**.com has changed,
and the key for the corresponding IP address 115.**.**.***
is unchanged. This could either mean that
DNS SPOOFING is happening or the IP address for the host
and its host key have changed at the same time.
Offending key for IP in /Users/apple/.ssh/known_hosts:229
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
1e:2d:19:1c:15:1b:c0:e4:31:83:c2:cc:e1:df:d1:19.
Please contact your system administrator.
ryd994
2015-10-30 05:09:04 +08:00
@lianz 那是因为你之前用过储存了公钥
如果被人算计了第一次,那后面怎么样都没用
msg7086
2015-10-30 05:44:25 +08:00
@ryd994 如果你怕第一次就被人算计,那就从第一次起就注意安全。
如果网络形势严峻到第一次就会被中间人,那么不按位核对 SSH KEY 就是用户的错了。
ryd994
2015-10-30 07:22:09 +08:00
@msg7086 因为有人问绝对安全啊,绝对安全就该到机房拷公钥
我只是
ryd994
2015-10-30 07:23:12 +08:00
@msg7086 因为有人问绝对安全啊,绝对安全就该到机房拷公钥
我只是反驳楼上说检查公钥就没有问题的说法,
chinawrj
2015-10-30 08:37:04 +08:00
@squid157 第一次的 key fingerprint 哪里来。。。
zhujinliang
2015-10-30 10:29:36 +08:00
我说现在怎么不少 vps 服务商改成了公私钥的做法。
以前是先用密码登陆,然后拷贝上公钥。服务商这样做应该可以保证第一次登陆不会被中间人
squid157
2015-10-30 10:32:23 +08:00
@chinawrj 你自己的服务器你不知道公钥么 别人的服务器问他要
Khlieb
2015-10-30 11:58:25 +08:00
lianz
2015-10-30 23:42:41 +08:00
@ryd994 既然你这么关心安全,那么就第一次连接就应该注意 key 是否正确啊,还有记得禁用 password 登陆,只用 pubkey 登陆
ryd994
2015-10-31 01:51:23 +08:00
@lianz 我并不怎么在意。因为现在我生活在一个 DNS 和 ISP 和骨干网还有最基本的底线的国家。 public key 属于入门课。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/232142

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX