指纹ssh要求什么？

Question

$ ssh 192.168.29.126
The authenticity of host '192.168.29.126 (192.168.29.126)' can't be established.
ECDSA key fingerprint is SHA256:1RG/OFcYAVv57kcP784oaoeHcwjvHDAgtTFBckveoHE.
Are you sure you want to continue connecting (yes/no/[fingerprint])?

它要求的“指纹”是什么？

Answer 1

这个问题询问您是否信任并希望继续连接到SSH不识别的主机。它给你提供了几种回答方法：

• yes，您信任主机并希望继续连接到它。
• no，您不信任主机，也不希望继续连接到它。
• [fingerprint]意味着您可以粘贴指纹，即主机密钥的散列，作为对问题的回答。如果粘贴的指纹与主机的指纹相同(如SSH所发现)，则连接将继续，否则将终止。

用肯定的方式回答问题的指纹是实际问题中所显示的确切字符串(在您的情况下是SHA256:1RG/OFcYAVv57kcP784oaoeHcwjvHDAgtTFBckveoHE)。如果你把这个指纹保存在其他地方，从那里粘贴它比用眼睛比较长的字符串要容易。

简而言之:第三种答案提供了一种方便的方式来验证主机的指纹是否是您认为应该的。

使用指纹回答问题引种在OpenSSH 8.0 (2019年)。

提交消息读取

接受未知主机密钥时，接受主机密钥指纹作为“是”的同义词。这允许您将带外获取的指纹粘贴到“是”/“否”提示符中，并让客户端为您进行比较。好的markus@ djm

Answer 2

在一个非常抽象的用户级别上:指纹是从服务器的加密密钥对中派生出来的，目的是您有一些其他可信的通信通道来验证预期的值，这使您对您实际上正在与您想要交谈的服务器进行交谈有一定的信心。(也就是说，你打电话给系统服务台，问他们“请把我应该看到的指纹念给我听”，他们很可能会告诉你，你是第一个问他们这件事的人，他们就得知道怎么做。新版本的openssh可以查看指纹的特殊DNS记录，希望能够转移SSH连接的人不能转移或伪造DNS查找。)

或者你的意思是:指纹是如何得到的？