OpenSSH triky
Server
…
Klient
Visual Host Key - Grafický fingerprint klíče
<img src="http://openssh.org/images/openssh.gif" width="300px" style="float:left;" /> V SSH klientovi z balíku OpenSSH (Open BSD Secure Shell - což je mimochodem v UN*Xovém světě ten nejrozšířenější a asi i nejrozšířenější vůbec) se nedávno objevila nová funkce, která umožní kromě klasického textového MD5/SHA fingerprintu veřejného SSH klíče zobrazit navíc ještě grafický otisk (tvořený ASCII znaky). To má umožnit lépe si zapamatovat otisk a případně si všimnout jeho změny. To má smysl při přihlašování z místa, kde nemáte otisk uložený i z míst, kde je možné, že vám otisk někdo podstrčil, nebo podobně. <!–more–><br style="clear:left;" /> Funkci je možné povolit přidáním řádku
VisualHostKey yes
do konfiguračního souboru <tt>/etc/ssh/ssh_config</tt>.
Při každém přihlašování ke vzdálenému SSH serveru potom na svojí obrazovce uvidíte obrázek jako je níže (za ním bude následovat welcome banner serveru a většinou výzva pro zadání hesla). Tady můžete vidět grafický otisk serveru harvie.cz:
<pre>
0 ;) harvie@harvie-ntb ~ $ ssh harvie.cz Host key fingerprint is 41:72:28:3d:f5:f5:d3:a2:0b:f6:e5:c7:a2:c4:b0:d3 +--[ RSA 2048]----+ | ..o+ . | | . ++ . . . . | | . .. . + .| | . . o | | S + . . | | . B + . | | o E o o| | o . o | | . | +-----------------+
</pre> A na jiném serveru může grafický fingerprint vypadat třeba takhle: <pre>
130 ;( harvie@harvie-ntb ~ $ ssh 192.168.2.137 Host key fingerprint is 17:bb:27:2a:6b:e0:31:e1:5f:d7:fd:e1:27:76:b5:79 +--[ RSA 2048]----+ | | | | | . | | . o | | . . S o. . | | = ..... ...| | . = . .o . ..=| | . + . o o+E| | ..o. . oo| +-----------------+
</pre>
Pokud by se taková funkce objevila třeba u grafického klienta Putty, jistě by zde byla zajímavá možnost vytvářet nějaké grafické koláže jako třeba: <tt>tyrkysový - lev - na měsíci - sleduje fialového - krokodýla - na obloze je nápis A1</tt> Což je nejen zvráceně ulítlé, ale také podle nauky o lidské paměti dobře zapamatovatelné (jako všechny jednoduché, ale zvráceně ulítlé motivy). Kromě poskládaného obrázku by klient mohl zobrazovat ještě podobnou textovou interpretaci pro kompatibilitu s čistě textovými klienty… Tím by se jistě zlepšila bezpečnost a zjednodušila by se nutnost nosit v hlavě fingerprinty. Samozřejmě na druhou stranu by bylo nutné udělat koláž dostatečně složitou, protože jinak by bylo snadné najít v podobném hashovacím algoritmu kolizi a tím vystavit server ještě většímu nebezpečí.
Tudíž pro začátek radím jenom
echo VisualHostKey yes >>/etc/ssh/ssh_config
(pokud jste tak ještě neučinili)