Первое подключение к VDS по SSH - компрометация ключей?

[wiki]

Добрый день!
Не дает покоя вопрос, и может быть кто нибудь развеет мои сомнения.
Итак, собственно, по теме.
Типичная ситуация, я создаю новую машину (контейнер с ОС Linux).
Мне выдают логин и пароль SSH.
Затем я например через Putty, подключаюсь к своему серверу, и
Putty спрашивает меня, доверять ли мне следующему отпечатку, и там соответственно
finger print.
Так вот вопрос, если я машину создаю на физическом сервере, я конечно могу прочитать отпечаток своих же ключей т.к. я нахожусь рядом с машиной и между мной и машиной никого нет. Все секретно все довольны, зная отпечаток finger я затем подключаюсь с удаленного хоста и на 100% ( ну на 99,99999999%) уверен что это мой сервер, и что никого постороннего в соединении нет.
В СЛУЧАЕ С VDS, КАК Я МОГУ БЫТЬ УВЕРЕН ЧТО МЕЖДУ МОИМ ХОСТОМ И СЕРВЕРОМ НЕТ БОЛЕЕ НИКОГО?
ВЕДЬ Я НЕ ЗНАЮ КАКОЙ ОТПЕЧАТОК НА МОЕМ СЕРВЕРЕ???
Т.е. злоумышленнику достаточно ( ну конечно это сложно, но возможно ) перехватить пакеты на IP моего сервера, и далее подставляя себя как мой сервер ( настоящий отпечаток ведь я не знаю), получить доступ к моему серверу, за доли секунды залить трояна, и потом спокойно юзать мой сервер, для своих вредительских дел.
Так называемая проблема - человек посередине, если не ошибаюсь.
Прошу знатоков высказаться, и оценить актуальность проблемы.
Замечу, что finger принт придумали не зря, и если бы проблемы не было, Putty бы не спрашивал доверять ли данному серверу.
Спасибо за внимание!

p.s.
Может быть кто-то знает, как обстоит дело на например западных хостингах?

P.P.S.
ВНИМАНИЕ!
Для тех кто всю ветку читать не будет.
Проблема решается переустановкой системы с одновременной загрузкой через панель публичных ключей для пользователя root. И хоть мы не знаем finger print, зато у потенциального злоумышленника нету приватного ключа, который есть только у нас.
Поэтому даже не зная finger print можно быть уверенным что подключаемся к своему серверу, иначе подключение не состоится.

[ls]

1. Если сервер на виртуализации KVM или есть ISPmanager, то вы можете подключиться либо к локальной консоли сервера через VNC и посмотреть fingerprint ключа, либо скачать приватный ключ через ISPmanager.
2. Проблема надумана

[wiki]

1. Следовательно, если виртуализация OpenVZ и ISPManager не приобретался, то таковой возможности нет, а жаль. Решение видится в вашем ответе. А в KVM (извините я не пользовался), можно просматривать каталоги через веб или как там это реализовано?
2. Хм, можно заниматься самоуспокоением, но как говориться до поры до времени, пока рак на горе не свистнет. Да и нормальному админу, не престало, надеяться на авось.

[pinokkio]

1. . Да и нормальному админу, не престало, надеяться на авось.

так же и путти пользоваться. http://www.securitylab.ru/analytics/216377.php да и не пристало.

[ls]

в KVM есть доступ к "локальной" консоли сервера через протокол VNC

[swg]

Putty спрашивает меня, доверять ли мне следующему отпечатку, и там соответственно finger print....

Не это он спрашивает. Он просто говорит, что к такому хосту еще не подключались. p.s. Если перехват трафика на момент начала соединения уже осуществляется, то не переживайте - весь ваш ssh трафик дешифруется.

[pinokkio]

нуу защищенные каналы и делают для того, чтоб не прослушивать(и тд трафик). например провайдер слушает весь трафик своих пользователей, есчо и до авторизации. да считай с подъездного коммутатора, его порта. прямо оттуда).

[swg]

Вот если вы сделаете авторизацию по ключам, передав их через другой канал связи (хоть через браузер&VNC и другого провайдера), тогда можно начать о каком-то защищенном канале говорить. А авторизация по паролю, если кто-то уже перехватывает трафик - ну очевидно, что он обладает такой же информацией, что и ваш ssh клиент.

[pinokkio]

насколько я понимаю, ссш, пароли и так не передает в открытом виде.

[swg]

Это тут причем? Я говорю, что трафик дешифруется, т.е. подглядывать за вами просто можно.

[pinokkio]

как причем, речь про ссш идет. дешифровать, значит расшифровать что-то, а подглядывать, просто видеть пакеты. если кто-то будет расшифровывать ссш, флаг тому в руки))

[wiki]

Putty спрашивает меня, доверять ли мне следующему отпечатку, и там соответственно finger print....

Не это он спрашивает. Он просто говорит, что к такому хосту еще не подключались.

Ну так конечно, он это и говорит. И помимо этого он спрашивает, вы уверены, что это именно тот сервер к которому вы хотите подключиться?
=)

[wiki]

в KVM есть доступ к "локальной" консоли сервера через протокол VNC

да, спасибо, как раз только что пробовал, вверху надпись "Connected (unencrypted) to QEMU..."

[wiki]

Вот если вы сделаете авторизацию по ключам, передав их через другой канал связи (хоть через браузер&VNC и другого провайдера), тогда можно начать о каком-то защищенном канале говорить. А авторизация по паролю, если кто-то уже перехватывает трафик - ну очевидно, что он обладает такой же информацией, что и ваш ssh клиент.

Чуть выше я писал, что VNC работает без шифрования, т.е. тут даже все еще хуже чем с SSH

[swg]

Чуть выше я писал, что VNC работает без шифрования, т.е. тут даже все еще хуже чем с SSH

А как самое простое через SSH-туннель или VPN-туннель? (+еще можно IPsec и SSL)