V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
scaldstack
V2EX  ›  Linux

ssh 在登陆时密码是绝对安全不会被嗅探的么?

  •  
  •   scaldstack · 2015-10-29 23:08:24 +08:00 · 6918 次点击
    这是一个创建于 3315 天前的主题,其中的信息可能已经有所发展或是发生改变。
    22 条回复    2016-09-16 10:01:28 +08:00
    zts1993
        1
    zts1993  
       2015-10-29 23:12:37 +08:00
    谁告诉你的。。。

    第一次登陆就很有可能被中间人。。
    squid157
        2
    squid157  
       2015-10-29 23:26:13 +08:00
    @zts1993 那个 key fingerprint 那么长 能那么容易碰撞上么
    xfspace
        3
    xfspace  
       2015-10-29 23:28:33 +08:00
    没有绝对的安全,除非完全隔绝互联网,独建网络 only you 使用。
    datocp
        4
    datocp  
       2015-10-29 23:37:53 +08:00 via Android
    不是说建个受限用户自动登录,然后 su 提权吗。
    cxbig
        5
    cxbig  
       2015-10-29 23:42:51 +08:00
    都 ssh 了不用 ssh key ?
    onlyxuyang
        6
    onlyxuyang  
       2015-10-29 23:50:39 +08:00
    没看过 ssh 协议,但是感觉第一次是有可能不安全。除非和 https 一样有授权中心....
    dant
        7
    dant  
       2015-10-30 00:32:03 +08:00 via Android
    @onlyxuyang 第一次连接时显示 host key ,并询问是否信任
    onlyxuyang
        8
    onlyxuyang  
       2015-10-30 00:51:51 +08:00 via Android
    @dant 要是中间人给你发 host key 呢…… 一般人不会特意去检查或者机要登录主机的 host key 吧
    lianz
        9
    lianz  
       2015-10-30 01:13:35 +08:00
    @onlyxuyang
    1. https 并没有所谓的授权中心,系统是是靠内置的根证书来判断证书是否可信的。
    2. SSH 的 Key 变了客户端会警告,要你点是否信任,你要是傻乎乎地点了信任,那什么安全协议都没有用。
    lianz
        10
    lianz  
       2015-10-30 01:18:11 +08:00   ❤️ 1
    @onlyxuyang 给你个例子,这是服务器重装后连接上去的时候的警告:

    $ ssh my**.com
    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
    @ WARNING: POSSIBLE DNS SPOOFING DETECTED! @
    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
    The RSA host key for my**.com has changed,
    and the key for the corresponding IP address 115.**.**.***
    is unchanged. This could either mean that
    DNS SPOOFING is happening or the IP address for the host
    and its host key have changed at the same time.
    Offending key for IP in /Users/apple/.ssh/known_hosts:229
    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
    @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
    IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
    Someone could be eavesdropping on you right now (man-in-the-middle attack)!
    It is also possible that a host key has just been changed.
    The fingerprint for the RSA key sent by the remote host is
    1e:2d:19:1c:15:1b:c0:e4:31:83:c2:cc:e1:df:d1:19.
    Please contact your system administrator.
    ryd994
        11
    ryd994  
       2015-10-30 05:09:04 +08:00 via Android
    @lianz 那是因为你之前用过储存了公钥
    如果被人算计了第一次,那后面怎么样都没用
    msg7086
        12
    msg7086  
       2015-10-30 05:44:25 +08:00
    @ryd994 如果你怕第一次就被人算计,那就从第一次起就注意安全。
    如果网络形势严峻到第一次就会被中间人,那么不按位核对 SSH KEY 就是用户的错了。
    ryd994
        13
    ryd994  
       2015-10-30 07:22:09 +08:00 via Android
    @msg7086 因为有人问绝对安全啊,绝对安全就该到机房拷公钥
    我只是
    ryd994
        14
    ryd994  
       2015-10-30 07:23:12 +08:00 via Android
    @msg7086 因为有人问绝对安全啊,绝对安全就该到机房拷公钥
    我只是反驳楼上说检查公钥就没有问题的说法,
    chinawrj
        15
    chinawrj  
       2015-10-30 08:37:04 +08:00
    @squid157 第一次的 key fingerprint 哪里来。。。
    zhujinliang
        16
    zhujinliang  
       2015-10-30 10:29:36 +08:00 via iPhone
    我说现在怎么不少 vps 服务商改成了公私钥的做法。
    以前是先用密码登陆,然后拷贝上公钥。服务商这样做应该可以保证第一次登陆不会被中间人
    squid157
        17
    squid157  
       2015-10-30 10:32:23 +08:00
    @chinawrj 你自己的服务器你不知道公钥么 别人的服务器问他要
    Khlieb
        18
    Khlieb  
       2015-10-30 11:58:25 +08:00 via Android
    lianz
        19
    lianz  
       2015-10-30 23:42:41 +08:00
    @ryd994 既然你这么关心安全,那么就第一次连接就应该注意 key 是否正确啊,还有记得禁用 password 登陆,只用 pubkey 登陆
    ryd994
        20
    ryd994  
       2015-10-31 01:51:23 +08:00 via Android
    @lianz 我并不怎么在意。因为现在我生活在一个 DNS 和 ISP 和骨干网还有最基本的底线的国家。 public key 属于入门课。
    rootit
        21
    rootit  
       2015-10-31 20:55:27 +08:00
    记住一点,没有绝对的安全。也没有绝对的不安全。
    安全是建立在你的需求之上的。
    eoo
        22
    eoo  
       2016-09-16 10:01:28 +08:00 via Android
    跑去机房传文件最安全
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3634 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 04:25 · PVG 12:25 · LAX 20:25 · JFK 23:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.