behatolasfigyeles

Laszlo Beres laszlo at beres.me
2010. Már. 18., Cs, 18:19:01 CET


2010/3/18 Veres Sándor <veresh at kossuthzs-szeged.sulinet.hu>:

>  - A kulccsal történő authentikáció kb. 20-25 mp Linux és Windows kliensről
> is. Ez normális viselkedés?

A legtobb esetben nevfeloldasi problemak szoktak a hatterben allni.
Feloldhato a kliens IP-cime/hostneve?

>  - Mire szolgál az sshd szerver /etc/ssh/sshd_config beállító állományában
> lévő következő két sor:
> HostKey /etc/ssh/ssh_host_rsa_key
> HostKey /etc/ssh/ssh_host_dsa_key

Az SSH kepes arra, hogy egy tavoli szerver hitelesseget is
megallapitsa az un. host kulcsok alapjan. A szerver telepitese utani
elso inditaskor legeneralasra kerulnek a fenti kulcsfajlok. Amikor a
kliensrol elso alkalommal csatlakozol, akkor az alkalmazasod eltarolja
a szerver egyedi kulcsat (.ssh/known_hosts). Minden tovabbi
kapcsolodaskor ellenorzi a korabban eltarolt es a szerverrol erkezo
kulcsot. Ha elteres mutatkozik, akkor a szerver nem az, akinek mondja
magat:

lberes at blondie:~$ ssh at1p1xscem001.mgt.unix
The authenticity of host 'at1p1xscem001.mgt.unix (10.130.32.144)'
can't be established.
RSA key fingerprint is 25:91:e5:10:0e:ac:a5:0e:6d:0a:e3:50:c4:9d:96:a2.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'at1p1xscem001.mgt.unix,10.130.32.144'
(RSA) to the list of known hosts.
lberes at at1p1xscem001.mgt.unix's password:
Last login: Thu Mar 18 10:50:29 2010 from 10.130.32.1
Could not chdir to home directory /home/lberes: No such file or directory
-bash-3.2$ logout
Connection to at1p1xscem001.mgt.unix closed.

(Itt most az /etc/hosts file-omban atirtam a hostnevhez tartozo
IP-cimet, mintha egy DNS-spoofing tamadast hajtanek vegre)

lberes at blondie:~$ ssh at1p1xscem001.mgt.unix
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@       WARNING: POSSIBLE DNS SPOOFING DETECTED!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
The RSA host key for at1p1xscem001.mgt.unix has changed,
and the key for the according IP address 10.130.32.75
is unchanged. This could either mean that
DNS SPOOFING is happening or the IP address for the host
and its host key have changed at the same time.

Offending key for IP in /export/home/lberes/.ssh/known_hosts:113
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
82:ae:95:83:ea:e2:ec:ab:d3:84:da:51:fd:d0:16:7f.
Please contact your system administrator.
Add correct host key in /export/home/lberes/.ssh/known_hosts to get
rid of this message.
Offending key in /export/home/lberes/.ssh/known_hosts:381

RSA host key for at1p1xscem001.mgt.unix has changed and you have
requested strict checking.
Host key verification failed.

A fenti jelenseggel egyebkent akkor is talalkozhatsz, ha ujratelepited
a szervered es nem viszed at a kulcsokat.

Tovabbi olvasnivalo:

http://hu.wikipedia.org/wiki/K%C3%B6z%C3%A9pre%C3%A1ll%C3%A1sos_t%C3%A1mad%C3%A1s
http://szabilinux.hu/security/bizt/node46.html

-- 
László Béres            Unix system engineer
http://www.google.com/profiles/beres.laszlo


További információk a(z) Techinfo levelezőlistáról