jhf*_*ntz 3 security ssh ssl-certificate
当我使用 ssh/sftp 登录到新机器(或从新机器)时,我收到提示“这是这个随机的十六进制数字字符串;我应该相信它吗?” 题。而且,由于我面前从来没有正确的东西来确定签名是否好,我通常会考虑正在使用的网络并做出相应的决定——也许在没有实际登录的情况下接受签名和然后将它与在其他机器/登录名 .ssh 目录上发现的应该是相同的签名进行比较。
如果我为我的“新”目标机器获得了 SSL 证书(例如,来自网络上众多供应商之一的 4.99 美元之一),我是否可以使用它来使该过程更加安全/无痛(例如, “您是否要相信这台机器就是它所说的那样”提示消失)?或者两者(SSL 和 ssh/sftp)完全不相交?
不,SSH 不使用 SSL 协议,也不使用 X.509 证书。
此外,即使这样做了,您也需要通过 SSH 登录以将SSL 证书安装到您的服务器,这将打败整点 - 至少在“当我登录到新机器时”的情况下。
如果您经常设置新服务器,请编写一个脚本来从多个不同位置(例如,使用pssh
和ssh-keyscan
)查询给定服务器的指纹。如果所有位置都看到相同的指纹,那么您没问题。
如果您经常从不受信任的计算机连接,请选择一台服务器作为“网关”,记下其指纹,并将其放在钱包/手机/任何东西中;然后仅通过该服务器进行所有连接。
旁注:OpenSSH 6.x确实有自己的证书格式,但它没有与现有的 X.509 PKI 集成,并且只支持一级“权限”,因此它仅在连接到已设置的服务器时有用一个已经配置好的客户端。
同样的缺点——需要显式配置——也适用于 OpenSSH 对通过 DNSSEC 验证指纹的支持。
最后,确实存在一些在 SSH 中使用 X.509 的补丁——一个由美国国防部使用,一个由 Globus Toolkit (GSI-SSH) 使用,可能还有其他的——但它们都有与上述完全相同的问题:它只会变成在大型组织中部署时更加自动化。尝试在家里设置 GSI-SSH 不会为您节省任何时间,只会浪费更多时间。
归档时间: |
|
查看次数: |
6715 次 |
最近记录: |