Secure Shell (SSH) menggunakan sidik jari dihasilkan dengan kunci host server yang unik sehingga klien dapat mengidentifikasi server. Setiap kali sidik jari host berubah, SSH mengeluarkan peringatan berikut:Sidik jari host tidak dapat diverifikasi atau telah berubah .
Saat Anda mengonfigurasi server SSH, kunci host dihasilkan secara acak. Kunci host mengidentifikasi server yang Anda sambungkan, dan ini merupakan pusat keamanan yang disediakan SSH. Jika seseorang menyiapkan program untuk mencegat koneksi dan mencuri kredensial login (pria di tengah serangan), klien SSH hanya memberikankunci host telah diubah peringatan.
Mengapa kunci host bisa berubah
Penjelasan untuk kunci host yang diubah meliputi:
- Mengkompilasi ulang atau meningkatkan versi SSH.
- Membangun kembali server.
- Menggunakan alamat berbeda untuk host yang sama.
Catatan: Saat sistem Anda menyimpan kunci host, sistem akan mencatatnya berdasarkan alamat, bahkan jika localhost dan 127.0.0.1 arahkan ke server yang sama, klien SSH menganggapnya sebagai entri yang berbeda.
Namun, jangan abaikan kemungkinan man-in-the-middle serang, dan periksa sidik jari host dengan menggunakan konsol web server tanpa menggunakan koneksi SSH.
Peringatan:Identifikasi host jarak jauh telah berubah
Pertimbangkan pesan kesalahan ini:
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx.
Please contact your system administrator.
Add correct host key in /home/demo/.ssh/known_hosts to get rid of this message.
Offending key in /home/demo/.ssh/known_hosts:15
RSA host key for 1.2.3.4 has changed and you have requested strict checking.
Host key verification failed.
Peringatan tersebut berarti sebagai berikut:Sidik jari yang mengidentifikasi server SSH berbeda dari terakhir kali Anda terhubung dengannya.
Periksa sidik jari SSH server Anda
Anda harus menulis sidik jari SSH server ke file untuk memastikan bahwa Anda terhubung ke server yang tepat, terutama saat menghubungkan dari beberapa mesin atau komputer yang tidak dikenal, seperti desktop atau server dari klien.
Jika Anda tidak memiliki sidik jari host, Anda dapat menggunakan konsol web di Panel Kontrol Cloud.
Konsol web memungkinkan Anda terhubung ke server Anda seolah-olah Anda terhubung dari konsol inirial. Sesuatu yang mencegah Anda terhubung dengan SSH tidak mengganggu koneksi konsol serial. Jika Anda memerlukan bantuan untuk membuka webconsole, tinjau artikel sesi konsol ini.
Jika Anda tidak memiliki nama pengguna dan sandi untuk digunakan (misalnya, jika Anda telah menonaktifkan sandi untuk semua akun), Anda dapat menggunakan Cloud Control Panel untuk mereset kata sandi root server. Kemudian, Anda dapat masuk dengan kredensial baru.
Gunakan ssh-keygen
Setelah Anda masuk ke server, Anda dapat memperoleh sidik jari kunci host. Jalankan ssh-keygen berikut ini perintah terhadap kunci publik server:
ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key.pub
-l opsi mencantumkan sidik jari, dan -f /etc/ssh/ssh_host_rsa_key.pub optionmemberi lokasi file kunci publik dari host. Lokasi tersebut adalah default untuk server Linux®, tetapi Anda mungkin perlu menemukannya di lokasi yang berbeda.
Outputnya mirip dengan sidik jari klien SSH Anda, seperti yang ditunjukkan pada contoh berikut:
2048 xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx /etc/ssh/ssh_host_rsa_key.pub (RSA)
Angka pertama menunjukkan kekuatan kunci (dalam hal ini, 2048 bit). Sidik jari mengikuti, bersama dengan lokasi kunci dan jenis kunci (biasanya RSA).
Hubungkan ke localhost dengan SSH
Cara lain untuk mendapatkan kunci publik adalah dengan menghubungkan ke server SSH dengan menggunakan SSHclient dari dalam server. Masuk ke konsol web lalu gunakan ssh perintah:
ssh localhost
Jika Anda terhubung dengan SSH ke localhost untuk pertama kalinya, Anda akan melihat peringatan. Peringatan menampilkan sidik jari kunci RSA:
The authenticity of host 'localhost (::1)' can't be established.
RSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx.
Are you sure you want to continue connecting (yes/no)?
Jika Anda tidak terhubung ke localhost untuk pertama kalinya, gunakan langkah-langkah berikut untuk menghapus kunci yang disimpan:
-
Buka .ssh direktori di akun Anda:
cd ~/.ssh -
Edit known_hosts file, menghapus baris yang dimulai dengan localhost .
-
Simpan file.
Coba koneksi lagi. Anda akan melihat sidik jari kali ini.
Catatan :Tulis sidik jari untuk menyimpan catatan dan gunakan untuk sisa artikel ini.
Selesaikan koneksi
Bandingkan sidik jari yang diperoleh dengan yang ditampilkan saat Anda terhubung dari jarak jauh ke server. Jika sama, koneksi valid. Jika tidak, maka putuskan sambungan dari jaringan dan coba sambungan dari tempat lain. Jika masih berbeda, hubungi dukungan.
Kunci host telah diubah
Jika Anda mendapatkan sidik jari tidak sesuai dengan yang diharapkan klien peringatan, gunakan petunjuk berikut untuk mengedit daftar host yang dikenal di komputer klien sebelum menyambung ke server.
Linux dan macOS X
Di Linux, macOS® X, dan sistem operasi berbasis Unix® lainnya, Anda menggunakan ssh perintah untuk terhubung ke server melalui SSH. ~/.ssh/known_hosts file berisi kunci host SSH yang diketahui.
Anda mungkin melihat known_hosts2 file di tempat atau di samping known_hosts . Jika kedua file ada, maka sistem menggunakan known_hosts2 saat Anda membuat sambungan.
Lakukan langkah-langkah berikut setelah Anda mengidentifikasi file:
-
Buka filenya.
-
Temukan baris yang dimulai dengan alamat IP atau nama domain server. Entri untuk alamat IP 1.2.3.4 muncul seperti pada contoh berikut:
1.2.3.4 ssh-rsa AAAAB3NzaC1yc2EAAAABIwGAAQEA2Km5iIlopDndzSTbiaQZq8ynh8RPrvzBJ7dICnvAZWuH/YeNO+9DPnngzsOiYazwRD/CRSGEGRY6tS3GLclFO3Ae370aafbcq... -
Hapus baris.
-
Simpan file.
Lain kali Anda membuat sambungan, periksa sidik jari host sebelum menyelesaikan sambungan.
Windows dan Putty
Untuk server Windows®, pertimbangkan untuk menggunakan Putty®. Jika Anda menggunakan program lain, periksa dokumentasi pengguna Anda untuk menemukan di mana klien menyimpan kunci host yang diketahui.
Catatan: Anda memerlukan hak Administrator di komputer klien untuk mengedit registri.
Catatan: Edit registri dengan hati-hati.
Putty menyimpan kunci host-nya di registri Windows. Lakukan langkah-langkah berikut untuk menemukan kunci host yang dikenal:
-
Buka Windows menu dan masukkan
regeditdi Penelusuran atau Lari kotak. -
Windows mengatur registri sebagai hierarki folder, jadi temukan folder berikut:
HKEY_CURRENT_USER\Software\SimonTatham\PuTTY\SshHostKeys -
Dalam folder, temukan satu atau beberapa entri dengan alamat IP server yang Anda sambungkan. Contoh berikut menunjukkan kunci terenkripsi RSA versi 2 pada port 22, alamat IP 1.2.3.4 :
rsa2@22:1.2.3.4 -
Klik kanan entri dan pilih Hapus dari menu kontekstual. Setelah Anda mendapatkanMengedit registri dapat menyebabkan masalah peringatan, konfirmasi tindakan.
-
Keluar dari editor registri.
Saat Anda mencoba koneksi SSH, Anda akan mendapatkan Kunci host server tidak diketahui peringatan bersama dengan sidik jari. Pastikan sidik jari ini dan sidik jari yang diperoleh dari konsol web cocok sebelum Anda menerima sambungan.
Ringkasan
Artikel ini menjelaskan cara mendapatkan sidik jari kunci host server. Pertimbangkan untuk menyimpan sidik jari kunci host dari server yang Anda sambungkan di tempat yang aman. Anda dapat merujuk ke kunci tersebut kapan saja Anda perlu mengesampingkan man-in-the-middle menyerang, terutama saat menggunakan banyak klien. Lihat Dasar-dasar keamanan dalam sistem Linux untuk referensi lebih lanjut.
Gunakan tab Umpan Balik untuk memberikan komentar atau mengajukan pertanyaan. Anda juga dapat memulai percakapan dengan kami.