Делает ли наличие SSL-сертификата соединения ssh/sftp более автоматическими?

Question

Когда я захожу на новый компьютер (или с нового компьютера), используя ssh/sftp, мне выдается сообщение «Вот эта случайная строка шестнадцатеричных цифр. Должен ли я доверять этому?вопрос. И, поскольку у меня никогда не было нужных вещей, чтобы выяснить, хороша ли подпись или нет, я обычно думаю об используемой сети и принимаю соответствующие решения - возможно, до принятия подписи без фактического входа в систему и затем сравнивая его с сигнатурами "что должно быть то же самое", найденными на других каталогах компьютеров / логинов .ssh.

Если я получу сертификат SSL для своего "нового" конечного компьютера (скажем, один из 4,99 долларов от одного из множества поставщиков в Интернете), могу ли я использовать его, чтобы сделать процесс более безопасным / безболезненным (например, если бы «Вы хотите верить, что эта машина - это то, о ком она говорит? Или два (SSL и ssh / sftp) полностью не пересекаются?

Answer 1

Нет, SSH не использует ни протокол SSL, ни сертификаты X.509.

Кроме того, даже если это произойдет, вам потребуется войти в систему через SSH, чтобы установить SSL-сертификат на свой сервер, что лишит вас смысла - по крайней мере, в случае "когда я вхожу на новую машину".

Если вы часто настраиваете новые серверы, напишите скрипт, который будет запрашивать отпечаток данного сервера из разных мест (например, с помощью pssh и ssh-keyscan). Если во всех местах виден один и тот же отпечаток пальца, то все в порядке.

Если вы часто подключаетесь с ненадежных компьютеров, выберите один из ваших серверов в качестве "шлюза", запишите его отпечаток и перенесите его в свой кошелек / телефон / что угодно; затем выполните все подключения только через этот сервер.

---

Примечание стороны: OpenSSH 6.x имеет свой собственный формат сертификат, но не интегрируется с существующим X.509 PKI и поддерживает только один уровень "авторитеты", так что это полезно только при подключении к серверам уже настроек из уже настроенный клиент.

Тот же недостаток - необходимость явной настройки - также относится к поддержке OpenSSH для проверки отпечатков пальцев по DNSSEC.

Наконец, существует несколько патчей для использования X.509 в SSH - один используется US DoD, другой используется Globus Toolkit (GSI-SSH), возможно, другие - но у них у всех те же проблемы, что и выше: он становится только более автоматический при развертывании в крупных организациях. Попытка настроить GSI-SSH дома не сэкономит вам время, а только потратит впустую больше.