Первое подключение к VDS по SSH - компрометация ключей?

SSL, TLS, Web protect, etc.

Модераторы: Art.i, vasya

Первое подключение к VDS по SSH - компрометация ключей?

Сообщение wiki » Вт авг 26, 2014 5:15 pm

Добрый день!
Не дает покоя вопрос, и может быть кто нибудь развеет мои сомнения.
Итак, собственно, по теме.
Типичная ситуация, я создаю новую машину (контейнер с ОС Linux).
Мне выдают логин и пароль SSH.
Затем я например через Putty, подключаюсь к своему серверу, и
Putty спрашивает меня, доверять ли мне следующему отпечатку, и там соответственно
finger print.
Так вот вопрос, если я машину создаю на физическом сервере, я конечно могу прочитать отпечаток своих же ключей т.к. я нахожусь рядом с машиной и между мной и машиной никого нет. Все секретно все довольны, зная отпечаток finger я затем подключаюсь с удаленного хоста и на 100% ( ну на 99,99999999%) уверен что это мой сервер, и что никого постороннего в соединении нет.
В СЛУЧАЕ С VDS, КАК Я МОГУ БЫТЬ УВЕРЕН ЧТО МЕЖДУ МОИМ ХОСТОМ И СЕРВЕРОМ НЕТ БОЛЕЕ НИКОГО?
ВЕДЬ Я НЕ ЗНАЮ КАКОЙ ОТПЕЧАТОК НА МОЕМ СЕРВЕРЕ???
Т.е. злоумышленнику достаточно ( ну конечно это сложно, но возможно ) перехватить пакеты на IP моего сервера, и далее подставляя себя как мой сервер ( настоящий отпечаток ведь я не знаю), получить доступ к моему серверу, за доли секунды залить трояна, и потом спокойно юзать мой сервер, для своих вредительских дел.
Так называемая проблема - человек посередине, если не ошибаюсь.
Прошу знатоков высказаться, и оценить актуальность проблемы.
Замечу, что finger принт придумали не зря, и если бы проблемы не было, Putty бы не спрашивал доверять ли данному серверу.
Спасибо за внимание!

p.s.
Может быть кто-то знает, как обстоит дело на например западных хостингах?

P.P.S.
ВНИМАНИЕ!
Для тех кто всю ветку читать не будет.
Проблема решается переустановкой системы с одновременной загрузкой через панель публичных ключей для пользователя root. И хоть мы не знаем finger print, зато у потенциального злоумышленника нету приватного ключа, который есть только у нас.
Поэтому даже не зная finger print можно быть уверенным что подключаемся к своему серверу, иначе подключение не состоится.
Последний раз редактировалось wiki Пт сен 12, 2014 4:00 am, всего редактировалось 1 раз.
wiki
 
Сообщений: 23
Зарегистрирован: Вт авг 26, 2014 4:57 pm

Re: Первое подключение к VDS по SSH - компрометация ключей?

Сообщение ls » Вт авг 26, 2014 5:30 pm

1. Если сервер на виртуализации KVM или есть ISPmanager, то вы можете подключиться либо к локальной консоли сервера через VNC и посмотреть fingerprint ключа, либо скачать приватный ключ через ISPmanager.
2. Проблема надумана
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6389
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Re: Первое подключение к VDS по SSH - компрометация ключей?

Сообщение wiki » Вт авг 26, 2014 6:01 pm

1. Следовательно, если виртуализация OpenVZ и ISPManager не приобретался, то таковой возможности нет, а жаль. Решение видится в вашем ответе. А в KVM (извините я не пользовался), можно просматривать каталоги через веб или как там это реализовано?
2. Хм, можно заниматься самоуспокоением, но как говориться до поры до времени, пока рак на горе не свистнет. Да и нормальному админу, не престало, надеяться на авось.
wiki
 
Сообщений: 23
Зарегистрирован: Вт авг 26, 2014 4:57 pm

Re: Первое подключение к VDS по SSH - компрометация ключей?

Сообщение pinokkio » Вт авг 26, 2014 8:01 pm

wiki писал(а):1. . Да и нормальному админу, не престало, надеяться на авось.

так же и путти пользоваться. http://www.securitylab.ru/analytics/216377.php да и не пристало.
pinokkio
 
Сообщений: 38
Зарегистрирован: Пн май 05, 2014 11:14 pm

Re: Первое подключение к VDS по SSH - компрометация ключей?

Сообщение ls » Ср авг 27, 2014 2:42 am

в KVM есть доступ к "локальной" консоли сервера через протокол VNC
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6389
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Re: Первое подключение к VDS по SSH - компрометация ключей?

Сообщение swg » Чт авг 28, 2014 6:43 pm

wiki писал(а):Putty спрашивает меня, доверять ли мне следующему отпечатку, и там соответственно finger print....
Не это он спрашивает. Он просто говорит, что к такому хосту еще не подключались. p.s. Если перехват трафика на момент начала соединения уже осуществляется, то не переживайте - весь ваш ssh трафик дешифруется.
swg
флудит форум
 
Сообщений: 2384
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Re: Первое подключение к VDS по SSH - компрометация ключей?

Сообщение pinokkio » Пт авг 29, 2014 10:33 pm

нуу защищенные каналы и делают для того, чтоб не прослушивать(и тд трафик). например провайдер слушает весь трафик своих пользователей, есчо и до авторизации. да считай с подъездного коммутатора, его порта. прямо оттуда).
pinokkio
 
Сообщений: 38
Зарегистрирован: Пн май 05, 2014 11:14 pm

Re: Первое подключение к VDS по SSH - компрометация ключей?

Сообщение swg » Пт авг 29, 2014 10:45 pm

Вот если вы сделаете авторизацию по ключам, передав их через другой канал связи (хоть через браузер&VNC и другого провайдера), тогда можно начать о каком-то защищенном канале говорить. А авторизация по паролю, если кто-то уже перехватывает трафик - ну очевидно, что он обладает такой же информацией, что и ваш ssh клиент.
swg
флудит форум
 
Сообщений: 2384
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Re: Первое подключение к VDS по SSH - компрометация ключей?

Сообщение pinokkio » Пт авг 29, 2014 11:04 pm

насколько я понимаю, ссш, пароли и так не передает в открытом виде.
pinokkio
 
Сообщений: 38
Зарегистрирован: Пн май 05, 2014 11:14 pm

Re: Первое подключение к VDS по SSH - компрометация ключей?

Сообщение swg » Пт авг 29, 2014 11:14 pm

Это тут причем? Я говорю, что трафик дешифруется, т.е. подглядывать за вами просто можно.
swg
флудит форум
 
Сообщений: 2384
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Re: Первое подключение к VDS по SSH - компрометация ключей?

Сообщение pinokkio » Пт авг 29, 2014 11:26 pm

как причем, речь про ссш идет. дешифровать, значит расшифровать что-то, а подглядывать, просто видеть пакеты. если кто-то будет расшифровывать ссш, флаг тому в руки))
pinokkio
 
Сообщений: 38
Зарегистрирован: Пн май 05, 2014 11:14 pm

Re: Первое подключение к VDS по SSH - компрометация ключей?

Сообщение wiki » Сб сен 06, 2014 7:23 pm

swg писал(а):
wiki писал(а):Putty спрашивает меня, доверять ли мне следующему отпечатку, и там соответственно finger print....
Не это он спрашивает. Он просто говорит, что к такому хосту еще не подключались.

Ну так конечно, он это и говорит. И помимо этого он спрашивает, вы уверены, что это именно тот сервер к которому вы хотите подключиться?
=)
wiki
 
Сообщений: 23
Зарегистрирован: Вт авг 26, 2014 4:57 pm

Re: Первое подключение к VDS по SSH - компрометация ключей?

Сообщение wiki » Сб сен 06, 2014 7:27 pm

ls писал(а):в KVM есть доступ к "локальной" консоли сервера через протокол VNC

да, спасибо, как раз только что пробовал, вверху надпись "Connected (unencrypted) to QEMU..."
wiki
 
Сообщений: 23
Зарегистрирован: Вт авг 26, 2014 4:57 pm

Re: Первое подключение к VDS по SSH - компрометация ключей?

Сообщение wiki » Сб сен 06, 2014 7:30 pm

swg писал(а):Вот если вы сделаете авторизацию по ключам, передав их через другой канал связи (хоть через браузер&VNC и другого провайдера), тогда можно начать о каком-то защищенном канале говорить. А авторизация по паролю, если кто-то уже перехватывает трафик - ну очевидно, что он обладает такой же информацией, что и ваш ssh клиент.

Чуть выше я писал, что VNC работает без шифрования, т.е. тут даже все еще хуже чем с SSH
wiki
 
Сообщений: 23
Зарегистрирован: Вт авг 26, 2014 4:57 pm

Re: Первое подключение к VDS по SSH - компрометация ключей?

Сообщение swg » Сб сен 06, 2014 7:33 pm

wiki писал(а):Чуть выше я писал, что VNC работает без шифрования, т.е. тут даже все еще хуже чем с SSH
А как самое простое через SSH-туннель или VPN-туннель? (+еще можно IPsec и SSL)
swg
флудит форум
 
Сообщений: 2384
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

След.

Вернуться в Безопасность

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3