SSH క్లయింట్లలో OpenSSH మరియు PutTY
క్లయింట్ మొదటిసారిగా కనెక్ట్ అవ్వడానికి ప్రయత్నిస్తున్నారని మరియు దాని వైపు హోస్ట్ కీ ఇంకా లేదని తెలుసుకుని, దాడి చేసే వ్యక్తి దాని ద్వారానే కనెక్షన్ని ప్రసారం చేయవచ్చు (MITM) మరియు క్లయింట్కి అతని హోస్ట్ కీని ఇవ్వవచ్చు, దానిని SSH క్లయింట్ పరిగణనలోకి తీసుకుంటుంది. కీ వేలిముద్రను ధృవీకరించకపోతే లక్ష్య హోస్ట్ యొక్క కీగా ఉండండి. అందువల్ల, దాడి చేసే వ్యక్తి వినియోగదారు అనుమానాన్ని రేకెత్తించకుండా MITMని నిర్వహించవచ్చు మరియు క్లయింట్ వైపు ఇప్పటికే హోస్ట్ కీలను క్యాష్ చేసిన సెషన్లను విస్మరించవచ్చు, భర్తీ చేసే ప్రయత్నం హోస్ట్ కీని మార్చడం గురించి హెచ్చరికకు దారి తీస్తుంది. మొదటిసారి కనెక్ట్ అయినప్పుడు హోస్ట్ కీ యొక్క వేలిముద్రను మాన్యువల్గా తనిఖీ చేయని వినియోగదారుల అజాగ్రత్తపై దాడి ఆధారపడి ఉంటుంది. కీలకమైన వేలిముద్రలను తనిఖీ చేసే వారు అటువంటి దాడుల నుండి రక్షించబడతారు.
మొదటి కనెక్షన్ ప్రయత్నాన్ని గుర్తించడానికి చిహ్నంగా, మద్దతు ఉన్న హోస్ట్ కీ అల్గారిథమ్ల జాబితా క్రమంలో మార్పు ఉపయోగించబడుతుంది. మొదటి కనెక్షన్ సంభవించినట్లయితే, క్లయింట్ డిఫాల్ట్ అల్గారిథమ్ల జాబితాను ప్రసారం చేస్తుంది మరియు హోస్ట్ కీ ఇప్పటికే కాష్లో ఉన్నట్లయితే, అనుబంధిత అల్గోరిథం మొదటి స్థానంలో ఉంచబడుతుంది (అల్గోరిథంలు ప్రాధాన్యత క్రమంలో క్రమబద్ధీకరించబడతాయి).
OpenSSH విడుదలలు 5.7 నుండి 8.3 మరియు పుట్టీ 0.68 నుండి 0.73 వరకు సమస్య కనిపిస్తుంది. సమస్య
OpenSSH ప్రాజెక్ట్ SSH క్లయింట్ యొక్క ప్రవర్తనను మార్చడానికి ప్లాన్ చేయదు, ఎందుకంటే మీరు ఇప్పటికే ఉన్న కీ యొక్క అల్గారిథమ్ను ముందుగా పేర్కొనకపోతే, కాష్ చేసిన కీకి అనుగుణంగా లేని అల్గోరిథంను ఉపయోగించడానికి ప్రయత్నం చేయబడుతుంది మరియు తెలియని కీ గురించి హెచ్చరిక ప్రదర్శించబడుతుంది. ఆ. ఒక ఎంపిక ఏర్పడుతుంది - సమాచారం లీకేజ్ (OpenSSH మరియు పుట్టీ), లేదా సేవ్ చేయబడిన కీ డిఫాల్ట్ జాబితాలోని మొదటి అల్గారిథమ్కు అనుగుణంగా లేకుంటే, కీని మార్చడం గురించి హెచ్చరికలు (Dropbear SSH).
భద్రతను అందించడానికి, OpenSSH DNSSEC మరియు హోస్ట్ సర్టిఫికెట్లలో (PKI) SSHFP ఎంట్రీలను ఉపయోగించి హోస్ట్ కీ ధృవీకరణ కోసం ప్రత్యామ్నాయ పద్ధతులను అందిస్తుంది. మీరు HostKeyAlgorithms ఎంపిక ద్వారా హోస్ట్ కీ అల్గారిథమ్ల అనుకూల ఎంపికను కూడా నిలిపివేయవచ్చు మరియు ధృవీకరణ తర్వాత క్లయింట్ అదనపు హోస్ట్ కీలను పొందేందుకు అనుమతించడానికి UpdateHostKeys ఎంపికను ఉపయోగించవచ్చు.
మూలం: opennet.ru