ssh 在登陆时密码是绝对安全不会被嗅探的么？

谁告诉你的。。。

第一次登陆就很有可能被中间人。。

@zts1993 那个 key fingerprint 那么长 能那么容易碰撞上么

没有绝对的安全，除非完全隔绝互联网，独建网络 only you 使用。

不是说建个受限用户自动登录，然后 su 提权吗。

都 ssh 了不用 ssh key ？

没看过 ssh 协议，但是感觉第一次是有可能不安全。除非和 https 一样有授权中心....

@onlyxuyang 第一次连接时显示 host key ，并询问是否信任

@dant 要是中间人给你发 host key 呢…… 一般人不会特意去检查或者机要登录主机的 host key 吧

@onlyxuyang
1. https 并没有所谓的授权中心，系统是是靠内置的根证书来判断证书是否可信的。
2. SSH 的 Key 变了客户端会警告，要你点是否信任，你要是傻乎乎地点了信任，那什么安全协议都没有用。

@onlyxuyang 给你个例子，这是服务器重装后连接上去的时候的警告：

$ ssh my**.com
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: POSSIBLE DNS SPOOFING DETECTED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
The RSA host key for my**.com has changed,
and the key for the corresponding IP address 115.**.**.***
is unchanged. This could either mean that
DNS SPOOFING is happening or the IP address for the host
and its host key have changed at the same time.
Offending key for IP in /Users/apple/.ssh/known_hosts:229
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
1e:2d:19:1c:15:1b:c0:e4:31:83:c2:cc:e1:df:d1:19.
Please contact your system administrator.

@lianz 那是因为你之前用过储存了公钥
如果被人算计了第一次，那后面怎么样都没用

@ryd994 如果你怕第一次就被人算计，那就从第一次起就注意安全。
如果网络形势严峻到第一次就会被中间人，那么不按位核对 SSH KEY 就是用户的错了。

@msg7086 因为有人问绝对安全啊，绝对安全就该到机房拷公钥
我只是

@msg7086 因为有人问绝对安全啊，绝对安全就该到机房拷公钥
我只是反驳楼上说检查公钥就没有问题的说法，

@squid157 第一次的 key fingerprint 哪里来。。。

我说现在怎么不少 vps 服务商改成了公私钥的做法。
以前是先用密码登陆，然后拷贝上公钥。服务商这样做应该可以保证第一次登陆不会被中间人

@chinawrj 你自己的服务器你不知道公钥么 别人的服务器问他要

会被主动嗅探

http://www.solidot.org/story?sid=45523

@ryd994 既然你这么关心安全，那么就第一次连接就应该注意 key 是否正确啊，还有记得禁用 password 登陆，只用 pubkey 登陆

@lianz 我并不怎么在意。因为现在我生活在一个 DNS 和 ISP 和骨干网还有最基本的底线的国家。 public key 属于入门课。