私がこれをしようとすると
ssh jh@jh-System-Product-Name
うまくいきます。
Welcome to Ubuntu 16.04.3 LTS (GNU/Linux 4.10.0-40-generic x86_64)
* Documentation: https://help.ubuntu.com
* Management: https://landscape.canonical.com
* Support: https://ubuntu.com/advantage
一方、
ssh localhost
The authenticity of host 'localhost (127.0.0.1)' can't be established.
ECDSA key fingerprint is SHA256:gsLR5X+7Im1MdPch7u8Jlvm0ql6PH0rDBsWnpOpizd4.
Are you sure you want to continue connecting (yes/no)? no
どういう意味ですか?
答え1
短い答え
これは次のいずれかを意味します。
- を介してローカルシステムに接続したことがありません
ssh。 - システムに新しいホストキーが生成されました。
コメントの情報を含むより長い回答
SSHは初めて使用するときの信頼(TOFU)システム。これは、接続システムに常に信頼される既知のホストのリストがあることを意味します。以前に未知のリモート接続が確立されている場合は、接続しているユーザーが確認、承認、または拒否できるように、リモートシステムのホストキーが表示されます。新しいホストが承認されると、ホストキーは常に信頼できる既知のホストのローカルリストに追加されます。
SSHが最も脆弱な部分がここです。 ドメイン名システムほとんどのドメイン検索は、以下を除いて安全ではありません。DNSSEC配布されました。したがって、攻撃者はDNSをなりすましてリモートシステムのように見せることができます。この場合、ホストキーは一致しませんが、多くのユーザーはとにかくホストキーをチェックしません。したがって、パスワード認証でSSHを使用している場合、リモート攻撃者がMin-In-The-Middle(MITM)方式を介してSSH接続を確立し、ホストキーが不正確で接続しているユーザーがあまりにも怠惰である場合、ユーザー名とパスワードを水平にするチャレンジできます。確認してください。
sshfpSSH Fingerprint(SSH Fingerprint)という緩和されたDNSレコードがあります。これsshfp記録ドメイン所有者がDNSゾーンファイルに入力しました。ドメインに接続されているシステムはsshfp履歴を確認します。記録が見つかると、指紋が確認されます。これにより、接続システムがTOFU信頼モデルの誤ったリモートホストに接続するのを防ぎます。ただし、ほとんどのDNSプロバイダはsshfpレコードタイプをサポートしていません。したがって、ほとんどのssh接続はDNSスプーフィングから保護されません。
したがって、以前に接続したが新しいホストキーを表示するリモートシステムに接続するときは注意してください。懸念に対するあなたの答えは素晴らしいです。しかし、この場合には根拠がない可能性が高いです。