• ベストアンサー

ssh ホスト認証につきまして

いつもお世話になっております。 sshのホスト認証について質問ですが、 はじめてのホストに接続すると、接続先ホストからホストキー(公開鍵)が送られてきまして、以降、このキーを照合して認証が行われますが、 はじめてのホストに接続した際、なりすましサイトのホストキーを登録してしまったら、以降、ずっと誤ったことが行われるということになる可能性はありますでしょうか。また、だとすれば、はじめてのホストキーは、CDにして渡すとか、SCPで渡すというのが、ベストでしょうか。 お手数をお掛けしますが、どうぞよろしくお願いいたします。

  • uff-n
  • お礼率54% (47/87)

質問者が選んだベストアンサー

  • ベストアンサー
  • Wr5
  • ベストアンサー率53% (2177/4070)
回答No.1

>はじめてのホストに接続した際、なりすましサイトのホストキーを登録してしまったら、以降、ずっと誤ったことが行われるということになる可能性はありますでしょうか。 そうなる…でしょうね。 そうならないように、fingerprintが表示されているわけですが…。 例えば、SourceForge.jpの場合だと… http://sourceforge.jp/docs/Subversion%E3%81%AE%E4%BD%BF%E3%81%84%E6%96%B9 にホスト鍵のfingerprintが記述されています。 >また、だとすれば、はじめてのホストキーは、CDにして渡すとか、SCPで渡すというのが、ベストでしょうか。 元々、ネットワーク経由で受け渡しするモノ…でしょう。 Webページなどにfingerprintを載せておく…ということでよいかと思いますが。

その他の回答 (1)

  • notnot
  • ベストアンサー率47% (4835/10236)
回答No.2

>はじめてのホストに接続した際、なりすましサイトのホストキーを登録してしまったら、以降、ずっと誤ったことが行われるということになる可能性はありますでしょうか。 可能性も何も、違うキーを登録したら、そのキーを正しいものとして以降は動作するのは当然ですよね。 scpで渡すと言ってもscpの際にまたキーが正しいかどうかわからない訳なので、そういうことを心配するなら、CDやUSBメモリもしくは紙にプリントして渡すしかないと思います。称号だけ出来ればいいので、紙でいいのでは?

関連するQ&A

  • SSHのホスト認証について

    現在VineLinux3.2を使ってサーバの勉強をしている、ド素人です。 SSHのユーザ認証が、 (1)サーバ側で乱数生成→クライアントの公開鍵で暗号化→ (2)クライアントに送信→ (3)クライアントが受信→ (4)秘密鍵で複合化→サーバに送信→ (5)サーバはクライアントから送られた乱数を確認して認証 という流れで、なるほど、これでユーザを認証できるってのは分かるのですが、 ホスト認証がよくわかりません、 SSHでサーバにアクセスすると、 サーバの公開鍵が ~/.ssh/knows_hosts に登録されますが、 この公開鍵を使って、ユーザ認証と同じ方法で接続先ホストを認証してるのでしょうか? そうだとしたら、 2度目のアクセスからはホストを認証するのに、 この~/.ssh/known_hostsの 公開鍵を使った方法が有効だというのは分かりますが、 一番最初のアクセスではこの公開鍵を使ってもホストの認証は出来ないと思うのですが(接続先から送られてくる公開鍵を使うだけなので) どういう仕組みになってるのでしょうか? よろしくおねがいします。

  • sshの認証鍵の作成はホストかクライアントか?

    sshで接続する際に公開認証鍵を使用する場合の認証鍵はホストとクライアントのどちらで作成するべきでしょうか? ネットでいろいろ参照すると、ホストで作成する場合とクライアントで作成する場合の両方が紹介されています。 teratermなどのクライアントで複数のLinuxのホストに接続する場合、 クライアントで作成して、同じ公開鍵を各Linuxのホストに配布したほうが、シンプルだと考えます。 ホストで鍵を作成したほうが、セキュリティ上、好ましい理由などがあれば、教えて頂きたく、質問させて頂きました。

  • sshやscpでlocalhostへ接続できますか?

    どのカテゴリーに質問すべきか悩んだのですが、 SSHやSCPはリモートホスト欄に、test@localhost のように記述し、リモートでSSHやSCPを利用するのと 同じく鍵をコピーすればlocalhostへ接続できますか? といいますのは、セキュリティーは変わらないのですが ローカルだったら、rm や cp リモートだったらsshでrm や scp というようにプログラムで切り替えるのが面倒なので、 どのホストでもsshやscpを使うとしたくて。。 よろしくお願いします。

  • CentOSでSSH公開鍵認証ができません。ログの場所はどこでしょうか?

    puttyからCentOS4.1のサーバーへ公開鍵認証による SSH接続ができません。 http://nekhet.ddo.jp/item/771 の通り設定したのですが・・ サーバーの/home/test/.ssh/authorized_keys にputtyで作成した公開鍵をちゃんと登録しています。 しかし、SSHでログインIDを入力すると、 login as: test Authenticating with public key "XXXXXXXXXX" とならず、ログインIDを入力した時点でputtyが 落ちてしまいます。原因を調べたいのですが ログのありかはどこでしょうか?

  • SSHの公開鍵方式の接続について

     SSHの公開鍵(&秘密鍵)の認証での接続について質問です。  現在、Mac OSXのターミナルからLinuxのFC5サーバーに接続しようとしているのですが、うまく接続できません。  FC5側のSSHサーバーはすでに起動しているのですが、最初のホスト認証で躓いています。最初のアクセスの歳にSSHサーバー側から認証鍵を渡されるのですが、その時点で謝ってnoを選択してしまいました。以後、公開鍵が使えない状態になってしまい、接続しても「Permission denied (publickey,gssapi-with-mic).」になってしまいます。最初の接続時の公開鍵を再発行してもらうにはどうしたらよいのでしょうか?  ホスト認証の後は、ユーザー認証となると思いますが、この設定もちょっとよくわからない部分があります。  サーバー側で公開鍵と秘密鍵のセットをssh-kegenで作りますが、MacのOSXのターミナルから接続する場合は、この秘密鍵をどこに保存すればようのでしょうか?また保存後にこの秘密鍵を呼び出すにはどうしたらようでしょうか?  OSXも基本的にはUNIXなので、ホームディレクトリに.sshディレクトリなどを作成して保存するのでしょうか?    詳細な設定方法を教えて頂けると幸いです。

  • SSHの公開鍵について

    お世話になっております。 現在3台のサーバA,B,Cがあり、AのサーバからB,Cにパスワードなしでログインできるようにするため、 AのサーバでSSHの公開鍵と秘密鍵を作成しました。(パスフレーズはnull) 具体的な手順は以下になります。 ------------------------------------------------------------------------------------------- 1. Aサーバにて公開鍵と秘密鍵を作成 A # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (//.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in //.ssh/id_rsa. Your public key has been saved in //.ssh/id_rsa.pub. The key fingerprint is: xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx root@A 2. 秘密鍵、公開鍵が作成されていることを確認 A # ls ~/.ssh id_rsa id_rsa.pub known_hosts 3. 公開鍵をBとCサーバへ配信 A # scp ~/.ssh/id_rsa.pub root@B:/tmp Password: id_rsa.pub 100% |***************************************| 223 00:00 4. BとCサーバ側で公開鍵の登録 B # cat /tmp/id_rsa.pub > ~/.ssh/authorized_keys ------------------------------------------------------------------------------------------- 登録後、AサーバからB,CサーバにSSHで接続してみたのですが、一見パスワードなしでログインできているようでした。 ただ、何故か B,Cサーバや無関係なDサーバからもAサーバへパスワードなしでアクセスできてしまいます。 公開鍵を登録したのはB,Cサーバのみで、B,CサーバからAサーバに対してパスワードなしでアクセスできないはずという認識です。 更に、数日後AサーバからB,Cサーバに接続を試みたところ、以下のメッセージが出力されました。 ------------------------------------------------------------------------------------------- ホスト 'B (1.1.1.1)' の認証を確立できません. RSA 鍵フィンガープリントは xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx です 本当に接続を継続してもよろしいですか (yes/no)? ------------------------------------------------------------------------------------------- 公開鍵はBサーバ初回接続時にknown_hostsへ登録済みで、Bサーバ側のIPアドレスの変更なども実施していません。 SSHの仕様で、公開鍵が数日で変更されるのでしょうか? 上記について、アドバイスや問題点があればご教示いただければ幸いです。

  • ssh_known_hosts について

    SSH接続において初回接続時は登録されていないホストからの接続というメッセージが表示され、そのホストの情報が、ssh_known_hostsに登録されますが、 ある資料では、v1ではそこに登録され、v2ではssh_known_hosts2に登録されると書かれており、 ある資料では、RSA鍵がssh_known_hostsに、 DSA鍵がssh_known_hosts2に格納されると書かれています。 本当のところはどちらが正しいのでしょうか? 教えてください。

  • DSA認証でパスワードを聞かれてしまう・・

    ssh の公開鍵認証がうまく行きません。 つぎのようにやりました。 #ssh-keygen -t dsa #scp /home/hoge/.ssh/id_dsa.pub hoge@remotehost:/home/hoge/ #ssh hoge@remotehost hoge@remotehost's password:  ←パスフレーズを入力します #cat id_dsa.pub >> /home/hoge/.ssh/authorized_keys このあと、 ●.ssh のモードを 700 ●authorized_keys のモードを 600 に設定します。 こうすると、次のログインでは、 だいたいのホストでは、パスフレーズ入力だけになって、 パスワードは聞かれません。 しかし、ホストによっては、 パスフレーズ入力+パスワード入力が必要になります。 なぜでしょうか? うまく行っていないホストは redhat です。

  • ssh鍵認証

    Aサーバーでsshで秘密鍵と公開鍵をを作成し、公開鍵のみをBサーバーへ置きました。 AサーバーからBサーバーへノンパスでログインはできたのですが、 BサーバーからAサーバーへのノンパスでのログインはできません。 (パスワードが聞かれてしまう) BサーバーからAサーバーへノンパスログイン(鍵認証)するにはどのようにすればよろしいでしょうか? ご存知の方、宜しくお願いします。

  • SSHでの公開鍵認証接続時のログイン画面

    CentOSクライアントからのCentOSサーバへ公開鍵認証によるSSH接続をしたいと思っています。公開鍵認証なのでパスワードではなくパスフレーズでの認証ができるようにしたいです。 しかし、設定操作を一通りやってクライアントからサーバへログインしようとすると添付画像のとおり「パスワード」と書かれたログイン画面が出てきます。 一応パスフレーズとして設定した文字列を入力しないとログインできないようにはなってるのですが、これはちゃんと公開鍵認証ができるようになっているのでしょうか。また、ログイン時に入力した文字列はパスワードではなくパスフレーズとして登録されているのでしょうか。 以下、環境/前提条件および操作手順の詳細です。 ■環境/前提条件 ・OSは両方ともCentOS6.5 ・OpenSSHのバージョンは両方とも5.3 ・仮にサーバ側のホスト名をtestserver、その中にあるユーザー名をtest1とする ■操作手順 (1)クライアント側でssh-keygenでid_rsaとid_rsa.pubをローカルに作成し、パスフレーズを登録。 (2)サーバ側で  .ssh/authorized_keysを作成し、   chmod 700 .ssh  chmod 600 .ssh/authorized_keys  を実行 (3)クライアント側で以下のコマンドを打ち公開鍵ファイルをサーバへ転送  cat .ssh/id_rsa.pub |ssh test1@testserver 'cat >>  .ssh/authorized_keys' (4)両マシーン共再起動させた後、クライアントからサーバへ   ssh test1@testserver  でログインしようとしたら添付画像が出てきた。 パスワード欄にはtest1@testserverのパスワードではなく、(1)で登録したパスフレーズを入力しないとログインできないようになっているが、 このログイン画面に書かれてるのがパスフレーズではなくパスワードとなっているのが気がかりです(パスフレーズとして認識されていない?) これはちゃんと公開鍵認証ができるようになっているのでしょうか。また、ログイン時に入力した文字列はパスワードではなくパスフレーズとして登録されているのでしょうか。 目標が達成できていなければ、問題点および解決策を教えてくださいますようお願いします。