Où l’empreinte digitale du serveur SSH est-elle générée / stockée?

J'ai installé openssh-server et créé une clé avec ssh-keygen. J'ai ensuite essayé de le tester en utilisant la redirection de port local ssh -L 8080:www.nytimes.com:80 127.0.0.1. Cependant, l'empreinte digitale de clé fournie par cette commande n'est pas l'empreinte digitale de clé obtenue lorsque je l'utilise ssh-keygen -l. Même si je supprime mon répertoire .ssh, j'obtiens toujours la même empreinte digitale, qui n'est pas celle avec laquelle j'ai créé ssh-keygen. Y a-t-il une autre clé sur mon système? Où est cette clé? Comment puis-je sélectionner cette clé pour une utilisation par openssh-server?

Lorsque vous créez une session SSH, deux paires de clés différentes (avec une empreinte digitale pour chaque paire) sont impliquées. L'un est la clé de l'utilisateur qui est stockée dans ~/.ssh. L'identité de la clé SSH de l'utilisateur est parfois utilisée comme identifiant pour se connecter à un autre ordinateur (si vous avez configuré une connexion par clé).

L'autre est la clé du serveur SSH. C'est la clé sur laquelle vous voyez l'empreinte lorsque vous vous connectez à un autre serveur pour la première fois. L'identité de cette clé est utilisée pour vous assurer que vous vous connectez au serveur SSH que vous souhaitez. Ceci est important si vous utilisez des mots de passe car vous ne voudriez pas tenter accidentellement de vous connecter à un ordinateur attaquant: l'attaquant obtiendrait votre mot de passe lorsque vous le saisiriez. Il pourrait ensuite se connecter à l'ordinateur sur lequel vous pensiez vous connecter. à! (Ceci est connu comme une "attaque au milieu" ) Les clés utilisées par un serveur SSH pour s'identifier lorsque vous vous connectez à ce dernier sont situées dans /etc/ssh/et sont généralement nommées ainsi ssh_host_rsa_key.

Vous pouvez réellement changer où le serveur SSH cherche la clé dans le fichier avec le paramètre./etc/ssh/sshd_configHostKey /path/to/host/key

Par défaut, ssh-keygencréera une clé pour l'utilisateur actuel, qui, par défaut, sera stockée dans ~/.ssh. Le format d'une clé d'utilisateur et d'une clé de serveur est identique. la différence est l'endroit où ils sont placés et si /etc/ssh/sshd_configune HostKeydirective les a pointés. Lorsque vous installez le paquet openssh-server, il génère automatiquement des clés à utiliser par le serveur. C’est de là que viennent les clés à empreinte inconnue. Si vous souhaitez voir l'empreinte de la clé (RSA *) du serveur SSH, vous pouvez l'exécuter ssh-keygen -lf /etc/ssh/ssh_host_rsa_key.pub.

* Il existe différents algorithmes de cryptage. Chacun utilise une clé différente. Les plus courantes sont DSA (faible), RSA (ancien paramètre par défaut) et ECDSA (nouveau paramètre par défaut).

Les clés d’hôte SSH sont stockées /etc/ssh/, ce que vous n’avez généralement pas besoin de choisir. Ces clés ont été générées lors de l'installation du paquet openssh-server.

Vous pouvez répertorier les empreintes digitales des clés, ssh-keygen -l -f /etc/ssh/ssh_host_key.pubmais vous devrez les répéter pour chaque clé publique.

ssh-keygenne génère pas l’empreinte SSH sur votre serveur. Cela est généré par le serveur SSH. ssh-keygencrée une paire de clés publique / privée pour votre système, que vous pourrez utiliser par la suite pour accéder à votre serveur SSH sans avoir à transmettre un code secret au serveur.

Les empreintes digitales de votre serveur ne s'afficheront évidemment pas comme l'empreinte digitale de la paire de clés publique / privée que vous avez générée, car elles sont séparées les unes des autres.