这是一个创建于 2752 天前的主题,其中的信息可能已经有所发展或是发生改变。
第一次连接的时候直接按 y 接受的,但是这样应该不安全。
 |
1
winterbells 2017-04-27 20:04:59 +08:00 via Android
yes
|
 |
2
nutting 2017-04-27 20:11:00 +08:00 via Android
什么意思,不按 yes 能连上吗
|
 |
3
mringg 2017-04-27 20:12:29 +08:00 via iPhone
这个意思是校对下再同意?
|
 |
4
ghostheaven OP @nutting 我的问题是怎样确认显示的指纹不是伪造的
|
|
5
ghostheaven OP @mringg 对啊,不确认就连不上,连上了才能知道真正的指纹,这不就死循环了
|
 |
6
Showfom 2017-04-27 20:15:05 +08:00 via iPhone
@ghostheaven 变了以后不久连不上了
|
|
7
ghostheaven OP @Showfom 问题是第一次连接的时候不知道指纹是不是对的
|
 |
8
blankme 2017-04-27 20:18:13 +08:00 via Android
自己的机器面对面登录
云服务器从服务商提供的 vnc 登录 |
|
9
ghostheaven OP @blankme 嗯。但还有 github 这种怎么办
|
 |
10
DoraJDJ 2017-04-27 20:22:25 +08:00  1
@ghostheaven GitHub 的 ssh 服务器指纹: https://help.github.com/articles/github-s-ssh-key-fingerprints/
|
 |
11
mcone 2017-04-27 21:21:46 +08:00
之前我也有过楼主这种困惑,只要你首次 ssh 登陆前,肉身登陆 shell (或者用 vps 提供商的伪·人肉 shell )看一眼就行了
至于以上都无法提供的其他服务商,靠谱点的你找找都会找到的,至少我接触过的几家靠谱的都有嘿嘿 |
 |
12
msg7086 2017-04-27 23:18:53 +08:00
你可以假设劫持是小概率事件。然后你第一次连接就被劫持的概率足够小。那么就可以无视第一次连接验证。
如果你假设劫持是大概率事件……呃,那就只能 console access 上去看指纹了。 |
|
13
Showfom 2017-04-28 00:55:02 +08:00 via iPhone
@ghostheaven 你可以 console 上去先看一下啊
|
 |
14
hjc4869 2017-04-28 01:28:36 +08:00
这种事情都该 IDC 提供的,包括 Windows VPS 的 RDP 证书指纹也是。
|
|
15
hjc4869 2017-04-28 01:32:11 +08:00
比如 Azure 的
Windows:  Linux:  |
 |
16
BOYPT 2017-04-28 09:07:20 +08:00
指纹确认的安全只能由其他安全途径确认。
|
 |
17
tinyproxy 2017-04-28 09:55:18 +08:00 via iPhone
你要真有这需要,上 dns 的 SSHFP 记录,担心 dns 一块被劫持了,上证书,https://www.digitalocean.com/community/tutorials/how-to-create-an-ssh-ca-to-validate-hosts-and-clients-with-ubuntu
只是说,这部分工作的开销是不是值得? |
 |
18
paw 2017-04-28 12:10:43 +08:00
GCE 会在 web 的 shell 里面提供
|
|
19
ghostheaven OP |
|
20
BOYPT 2017-04-28 16:45:55 +08:00
@ghostheaven #19 指纹其实就是通信公钥的 sha 哈希值,如果你能制造一个散列相同的碰撞,就可以完成中间人攻击。
|
|
21
msg7086 2017-04-28 18:22:08 +08:00
@ghostheaven 当然有可能。
|
Select Language