获得并考证你的SSH密钥指纹[网络技术]

有时你在登录到一台机械之后,发现SSH密钥改变了.这种情形大概是由于中间人攻击招致,但更多的情形下,是因为主机被重建,生成了新的SSH密钥（所以大家重建服务器的时刻要养成保存恢复SSH密钥的好习惯）.

那么,应当若何查抄指纹?

你可以直接通过网络从远程服务器上获得大众密钥:

ssh-keyscan -p 22 -t rsa,dsa remote_host > /tmp/ssh_host_rsa_dsa_key.pub 

然后你便可以通过这个文件生成指纹:

ssh-keygen -l -f /tmp/ssh_host_rsa_dsa_key.pub 

不过,假如你的密钥在其他因素下改变,而你想要摸索它改变的缘由,那么网络的方法是不够的.想办法通过其他方法登录到真机上（比方通过管理掌握台或KVM掌握台）,然后直接生成指纹:

ssh-keygen -lf /etc/ssh/ssh_host_dsa_key  

ssh-keygen -lf /etc/ssh/ssh_host_rsa_key 

然后,与你通过网络得到的指纹举行比较.假如它们匹配,那么万事ok;假如不匹配,那么你大概有麻烦了.

假如指纹不匹配,那么你应当先做一个针对ARP恳求的网络扫描,看看有哪个IP地址回应了ARP恳求.在ping的时刻扫描一下看看有没有ARP恳求.假若有两个主机,那么它们会为一个ARP条目而“互掐”起来,你应当能看到两个回应.

一旦你知道了这个奥秘主机的以太网地址,便可以通过路由（或交换机）接口上跟踪到ARP流量的去处.

原文:http://administratosphere.wordpress.com/2011/05/28/getting-and-verifying-ssh-fingerprints/

【有关SSH密钥指纹】

为了避免中间人(man-in-the-middle)攻击,管理员在通过SSH远程衔接主机的时刻,SSH会生成主机指纹并恳求保存.服务器的管理员可以发送密钥指纹给客户端,来让其在初次登陆时考证服务器的真实性.在之后的衔接中,城市考证与保存的指纹能否匹配.假如不匹配,SSH会给出告诫阐明密钥变更.