这是一个创建于 3304 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
zts1993 2015-10-29 23:12:37 +08:00
谁告诉你的。。。
第一次登陆就很有可能被中间人。。 |
 |
3
xfspace 2015-10-29 23:28:33 +08:00
没有绝对的安全,除非完全隔绝互联网,独建网络 only you 使用。
|
 |
4
datocp 2015-10-29 23:37:53 +08:00 via Android
不是说建个受限用户自动登录,然后 su 提权吗。
|
 |
5
cxbig 2015-10-29 23:42:51 +08:00
都 ssh 了不用 ssh key ?
|
 |
6
onlyxuyang 2015-10-29 23:50:39 +08:00
没看过 ssh 协议,但是感觉第一次是有可能不安全。除非和 https 一样有授权中心....
|
 |
7
dant 2015-10-30 00:32:03 +08:00 via Android
@onlyxuyang 第一次连接时显示 host key ,并询问是否信任
|
|
8
onlyxuyang 2015-10-30 00:51:51 +08:00 via Android
@dant 要是中间人给你发 host key 呢…… 一般人不会特意去检查或者机要登录主机的 host key 吧
|
 |
9
lianz 2015-10-30 01:13:35 +08:00
@onlyxuyang
1. https 并没有所谓的授权中心,系统是是靠内置的根证书来判断证书是否可信的。 2. SSH 的 Key 变了客户端会警告,要你点是否信任,你要是傻乎乎地点了信任,那什么安全协议都没有用。 |
|
10
lianz 2015-10-30 01:18:11 +08:00  1
@onlyxuyang 给你个例子,这是服务器重装后连接上去的时候的警告:
$ ssh my**.com @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: POSSIBLE DNS SPOOFING DETECTED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ The RSA host key for my**.com has changed, and the key for the corresponding IP address 115.**.**.*** is unchanged. This could either mean that DNS SPOOFING is happening or the IP address for the host and its host key have changed at the same time. Offending key for IP in /Users/apple/.ssh/known_hosts:229 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the RSA key sent by the remote host is 1e:2d:19:1c:15:1b:c0:e4:31:83:c2:cc:e1:df:d1:19. Please contact your system administrator. |
 |
12
msg7086 2015-10-30 05:44:25 +08:00
@ryd994 如果你怕第一次就被人算计,那就从第一次起就注意安全。
如果网络形势严峻到第一次就会被中间人,那么不按位核对 SSH KEY 就是用户的错了。 |
 |
14
ryd994 2015-10-30 07:23:12 +08:00 via Android
@msg7086 因为有人问绝对安全啊,绝对安全就该到机房拷公钥
我只是反驳楼上说检查公钥就没有问题的说法, |
 |
16
zhujinliang 2015-10-30 10:29:36 +08:00 via iPhone
我说现在怎么不少 vps 服务商改成了公私钥的做法。
以前是先用密码登陆,然后拷贝上公钥。服务商这样做应该可以保证第一次登陆不会被中间人 |
 |
18
Khlieb 2015-10-30 11:58:25 +08:00 via Android
|
|
19
lianz 2015-10-30 23:42:41 +08:00
@ryd994 既然你这么关心安全,那么就第一次连接就应该注意 key 是否正确啊,还有记得禁用 password 登陆,只用 pubkey 登陆
|
|
20
ryd994 2015-10-31 01:51:23 +08:00 via Android
@lianz 我并不怎么在意。因为现在我生活在一个 DNS 和 ISP 和骨干网还有最基本的底线的国家。 public key 属于入门课。
|
 |
21
rootit 2015-10-31 20:55:27 +08:00
记住一点,没有绝对的安全。也没有绝对的不安全。
安全是建立在你的需求之上的。 |
 |
22
eoo 2016-09-16 10:01:28 +08:00 via Android
跑去机房传文件最安全
|
Select Language