Hlavní navigace

Názor ke zprávičce Vyšlo OpenSSH 8.2 s podporou FIDO/U2F od k3dAR - jestli sem to dobre pochopil, NEjde o format...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 16. 2. 2020 0:18

    k3dAR

    jestli sem to dobre pochopil, NEjde o format prihlasovaciho klice, ale o format pouzitej na identifikaci/pod­pisu ciloveho stroje - ktere se pri prvnim pripojeni ukladaji na klientovi do ~/.ssh/known_hosts

    u prikazu " ssh -oHostKeyAlgorithms=-ssh-rsa jmeno@server" pak "-ssh-rsa" znamena vyloucit algoritmus ssh-rsa z overeni zda je cilovej stroj ten pravej - stejnej jako minule kdy uzivatel potvrdil "ano chci se na tento novej server pripojit"

    overit to muzes tim ze nevyloucis ale naopak vynutis (vynechas ten znak minus)
    ssh -oHostKeyAlgorit­hms=ssh-rsa jmeno@server

    misto pripojeni se ti zobrazi upozorneni "WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!" s podrobnostma(vcetne toho jakej algoritmus stavajci otisk ma) a prikazem (ssh-keygen -f /cesta/k/know­n_hosts -R [host]:port) kterym muzes otisk z known_hosts odebrat, kdyz ho odeberes, znovu se pripojis s =ssh-rsa, tentokrat se zepta zda chces otisk pridat, odpojis se a pripojis znovu opet totozne a uz se nepta

    => v tuhle chvili mas to co je nevhodne pri pripojeni "ssh jmeno@server" nebo "ssh -oHostKeyAlgorit­hms=ssh-rsa jmeno@server" (bez minus) se rovnou pripoji, ale pokud ted provedet to overeni zminene v zpravice:
    "ssh -oHostKeyAlgorithms=-ssh-rsa jmeno@serve" (tedy ted to s minus) oznami se WARNING, protoze pretim vynucenej algoritmus pro otisk ssh-rsa pod kterym se pridal do known_hostst ten zakazujes...

    (pro navrat do normalu, pripoj s minus, proved prikaz "ssh-keygen ..." pod WARNING, pak se pripoj normalne ssh jmeno@server a otisk se znovu prida bezpecnej...

    16. 2. 2020, 00:19 editováno autorem komentáře