前言
- 最近服务器到期,将自己的服务迁移到了一台更优惠的服务器,使用
ssh连接出现Host key verification failed,下面来看看如何解决这个问题以及聊聊问题中涉及的中间人攻击。
known_hosts 文件是什么
known_hosts文件是SSH客户端用来存储已知主机的公钥信息的文件。每次您连接到一个SSH服务器时,该服务器的公钥将被存储在这个文件中。当您以后再次连接到相同的服务器时,SSH客户端将检查known_hosts文件以确保服务器的公钥没有被篡改,以防止中间人攻击。
文件路径
known_hosts文件通常位于用户的家目录下的 .ssh 文件夹中。
示例
hostname_or_ip algorithm public_key
hostname_or_ip 是主机的域名或IP地址
algorithm 是使用的加密算法
public_key 服务端公钥
example.com ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQC98vOeovBJsWaw....
当连接到新主机时,SSH客户端会询问您是否接受新的主机密钥。此时新主机将被添加到known_hosts文件中。连接出现 Host key verification failed
- 当连接出现
Host key verification failed时,说明我们的连接信息出现了变更,无法和known_hosts文件中的数据进行匹配 ,我们有以下两种方式进行修正,前提是你知道你的连接操作是安全的。
ssh-keygen -R [hostname or ip address]
- 命令会从
known_hosts文件中删除指定主机的记录。下次连接时会重新生成记录。
删除整个 known_hosts 文件
rm -rf known_hosts,操作会删除所有已连接过的主机记录,下次连接需要重新添加。(一般不推荐)
其它
- 基于
ssh的其它传输方式出现上述问题解决方式和上文一致,比如 sftp 等。
聊聊中间人攻击
ssh 如何保证安全?
- 我们知道
ssh之所以能保证安全是使用公钥加密,不会将密码明文传输。
加密流程
- 当用户登录远程服务器时,服务端收到用户登录请求会将公钥发给用户
- 用户收到公钥后将登录密码使用公钥加密,发送给服务端
- 服务端收到后使用私钥进行解密,若密码正确则登录成功
漏洞在哪里
- 上述的过程看似很美好,但是服务端的公钥并没有类似 HTTPS 的 CA 中心,也就是说当你收到公钥时,公钥是否可信需要你自己进行判断。
- 比如此时你登录的服务是是一台伪造的服务器,发给你了一个假的公钥,那么你的账号密码就会泄露。
如何避免中间人攻击
- 1、将公钥指纹公布在服务器展示栏,让用户进行核对(这时候即使发生中间人攻击,但使用的是正确的公钥,伪造的服务器也无法解密拿到密码)
- 2、上述的
known_hosts方案其实也是为了避免中间人攻击,第一次核对连接成功后将可信服务端加入known_hosts列表,后续连接都会进行校验服务端是否改变,如果改变则需要重新信任。 - 3、使用
ssh秘钥的方式登录
个人简介
