关于SSH登录中公钥指纹科普

昨天公司 Git 服务器进行了升级导致密钥全部都没了需要重新上传有个别几个项目顺便换了个地址

SSH 首次登陆

当重新上传SSH Key 然后设置完 Git 远端项目地址后发现有个小提示信息如下

$ git fetch
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
SHA256:7g/bojcSbdVWBrfNrQ5+k+XQZuo4mp0V7MnUPD21nec.
Please contact your system administrator.
Add correct host key in /c/Users/reggie/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /c/Users/reggie/.ssh/known_hosts:2
ECDSA host key for [xxx.xxx.com]:12222 has changed and you have requested strict checking.
Host key verification failed.
fatal: Could not read from remote repository.
Please make sure you have the correct access rights
and the repository exists.

和

$ git fetch
The authenticity of host '[host]:12222 ([xxx.xxx.xx.xxx]:12222)' can't be established.
ECDSA key fingerprint is SHA256:7g/bojcSbdVWBrfNrQ5+k+XQZuo4mp0V7MnUPD21nec.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[host]:12222' (ECDSA) to the list of known hosts.
Warning: the ECDSA host key for '[host]:12222' differs from the key for the IP address '[121.201.57.228]:10022'
Offending key for IP in /c/Users/reggie/.ssh/known_hosts:7
Are you sure you want to continue connecting (yes/no)? yes

大概翻译下就是有可能有某人在服务器做了些 “坏事” (还能什么坏事就是被攻击了被)
有人可能在窃听你（中间人攻击）
还可能更换了主机密钥
下面是主机发送的 公钥指纹 其值
SHA256:7g/bojcSbdVWBrfNrQ5+k+XQZuo4mp0V7MnUPD21nec.

发生的原因

找了下相关 known_hosts 内容这个提示一般发生在第一次连接服务器的时候 SSH 会对进行连接的服务器核对你历史信息登录的服务器文件也就是 known_hosts 文件

这个里面记录了你登录过的服务器信息什么IP啦端口啦还有最重要的服务器的 公钥指纹 而本次我们换了Git服务器公钥指纹也发生了变动然后SSH在下面进行比对的时候发现不一致

给出提示有可能会发生中间人攻击问我们是否信任主机同时还返回了服务器的 公钥指纹 我们可以校验服务器的 公钥指纹 已确认是否是我们需要真正连接的服务器而不是中间人的服务器。

如果我们输入 yes 表示确认是正确的服务器然后他会吧相关信息写入到 known_hosts 文件然后继续下面的连接。

后面还有一个小插曲就是我输入了一个yes后信息也写入了但是每次连接还是会提示这个后面我发现是Git服务器的域名没变 IP变了

然后上面一条记录是连接的老的服务器而指纹已经变了，新的指纹信息在最下面。

推测应该是从上而下读取记录信息然后比对的比对到老的地址了然后发现指纹不一致直接弹了这个出来

后面我直接把 known_hosts 文件清空了重新连接一次 OK 搞定

中间人攻击

SSH的首次连接会下载服务端的公钥，用户确认后公钥将被保存并信任。

下次访问时客户端将会核对服务端发来的公钥和本地保存的是否相同，不同就发出中间人攻击的警告拒绝连接，除非用户手动清除已保存的公钥。

所以，如果首次连接没有中间人，之后的连接就无需担心中间人，因为中间人给出的公钥和服务端给出的公钥相同的可能性可以忽略。

如果首次连接就有中间人攻击，那么恭喜你中奖了。

校验公钥指纹

关于上一步给出来的服务器公钥指纹如何校验找了一圈内容大概都没有好的办法来校验。

一般都是服务器端公开自己的密钥指纹比如 Github 他们公开了自己的公钥指纹然后连接的时候返回过来可以自己对比下是否一致。

还有一种校验方式操作如下

获取服务端公钥

1 2	$ ssh-keyscan -t ECDSA -p 22 host > xx.txt # host:22 SSH xxxx

然后我们可以查看 xx.txt 文件（注意你的路径哈）

1	[host]:22 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBBAv7EZMq4b//f0Wj1ik/GK8G1/YwwU4dpS2d3C6YuPY0lMHeivFW4OyWOADqi7wnlO3Ot6fVZ6t1hZjQqhj2u4=

这个内容其实和写入你的 known_hosts 的内容是一样的

校验公钥指纹

可以使用下面的命令来生成公钥指纹 -E 参数是指定指纹的类型注意一开始返回的类型一致上面是sha256

1 2	$ ssh-keygen -E sha256 -lf xx.txt 256 SHA256:7g/bojcSbdVWBrfNrQ5+k+XQZuo4mp0V7MnUPD21nec no comment (ECDSA)

可以看到返回的值是 SHA256:7g/bojcSbdVWBrfNrQ5+k+XQZuo4mp0V7MnUPD21nec 这和一开始第一次连接服务器时返回的指纹是一致的 SHA256:7g/bojcSbdVWBrfNrQ5+k+XQZuo4mp0V7MnUPD21nec。这样就完成了一次校验但是这个校验真的是准确的吗如果你获取到的公钥都是中间人的呢… 好吧我也不知道了！！！一般都是服务器放公开自己的指纹然后比对吧这样靠谱点