Поправка: Автентичността на хоста не може да бъде установена

Актуализирането на вашия SSH софтуер трябва да свърши работа тук

Ако се свързвате към сървър чрез SSH за първи път, има вероятност да не можете да установите автентичността на грешката на хоста. Това се случва, защото вашият SSH клиент не разпознава сървъра.

Този проблем обаче все още може да възникне поради различни фактори, като например атака "човек по средата". Независимо от причината за проблема, можете да го поправите с простите, но ефективни решения в това ръководство.

Защо не мога да установя автентичността на хост?

По-долу са изброени някои от причините, поради които може да не можете да установите автентичността на грешката на хоста на отдалечения сървър, към който се опитвате да се свържете:

• Свързване за първи път – Ако се свързвате към сървър с вашия SSH клиент за първи път, със сигурност ще получите тази грешка. Това е форма на предупреждение за сигурност, необходима за проверка и удостоверяване на връзката.
• Грешен дистанционен ключ – В някои случаи тази грешка може да се дължи на неправилен хост ключ. Това може да се дължи на това, че публичният ключ е променен (чрез актуализация) или компрометиран.
• Наличие на множество хост ключове – Ако хост ключът на сървъра е от различни типове, може да срещнете тази грешка. Това е така, защото ECDSA може да е необходимият, докато този в известния хост е RSA.
• Атака човек по средата – Ако получавате този проблем при последващи връзки с познат хост, това може да се дължи на нападател, който слуша между връзката ви с хоста.

Сега, след като знаем причините за тази грешка, нека я поправим с помощта на решенията по-долу.

Как мога да проверя и валидирам ключа на хоста?

1. Проверете първата дума на втория ред на подканата за неуспешно установяване на автентичността на хоста за алгоритъма на SSH ключа.
   
2. След това проверете първите няколко знака от пръстовия отпечатък, за да определите хеша. Обикновено е така SHA256 или MD5.
   
3. Сега влезте във вашия отдалечен сървър и изпълнете следните команди в зависимост от хеша: За SHA256:ssh-keygen -lf /etc/ssh/ssh_host_ed25519_key.pubЗа MD5: ssh-keygen -E md5 -lf /etc/ssh/ssh_host_ed25519_key.pub
4. И накрая, сравнете пръстовия отпечатък с това, което виждате, когато отворите SSH връзка на вашето устройство. Ако е същото, можете да продължите с връзката. В противен случай отменете връзката и докладвайте за проблема.

Как мога да поправя грешката за автентичност на хоста не може да се установи?

Преди да продължите към корекциите в този раздел, опитайте следните стъпки за отстраняване на неизправности:

• Проверете мрежовата връзка
• Надстройте SSH софтуера
• Уверете се, че -SSH/known_host може да се записва

Ако проблемът продължава, сега можете да продължите към подробните решения по-долу:

1. Пропуснете проверката на HostKey

Това е един от най-лесните начини за коригиране на грешката при невъзможност за установяване на автентичността на хоста. Въпреки това е много рисковано, тъй като основно премахва предупреждението и излага компютъра ви, ако подканата е причинена от атака "човек по средата".

Но ако сте сигурни, че съобщението за грешка е, защото ключът на хоста е актуализиран или преконфигуриран, добавете записа по-долу във файла unknown_host: $ ssh -o "UserKnownHostsFile=/dev/null" -o "StrictHostKeyChecking=no" [email protected]

Това създава нулев файл за проверка и ви помага да заобиколите предупреждението за сигурност. За да настроите това за постоянно за текущия потребител, добавете горния запис към ~/.ssh/config файл.

Накрая го добавете към /etc/ssh/ssh_config вместо да го приложите към всички потребители.

2. Проверете отдалечения хост

В някои случаи този проблем може да е, защото ключът на хоста е грешен или не функционира. Освен това самият сървър може да не е легитимен.

В този случай трябва да извършите проверка на SSH хост ключ, за да сте сигурни, че ключът е правилен и че сървърът не е компрометиран.

За да направите това, изпълнете командата по-долу (променете уебсайта с действителния домейн или IP): ssh-keyscan website.com

Тази команда ще покаже публичния ключ на отдалечения хост на вашия терминал. Вече можете да сравните публичния ключ с този, предоставен от администратора на сървъра или във файла known_hosts.

3. Премахнете стария хост ключ

Ако грешката „не може да се установи автентичността на хост CA“ се дължи на промени, направени в ключа, трябва да премахнете стария ключ.

За да направите това, изпълнете командата по-долу (променете уебсайта с действителния домейн или IP): ssh-keygen -R website.com

Това ще премахне стария ключ от вашия файл known_hosts и ще реши проблема.

4. Изчистете DNS кеша

1. Натисни Windows ключ + С, Тип cmdи изберете Изпълни като администратор под командния ред.
   
2. Въведете командата по-долу и натиснете Въведете: ipconfig/flushdns
3. Накрая изчакайте командата да приключи и опитайте връзката отново.

Понякога невъзможността да се установи автентичността на проблема с хоста може да бъде причинена от неправилно конфигуриран DNS хост. За да коригирате това, трябва да изчистите DNS кеша и да рестартирате връзката.

Има ли рискове, свързани с изчистването на известни хостове?

Файлът unknown_hosts съдържа всички ваши надеждни ключове и не трябва да се изтрива. Но ако изчистите файла, това не би трябвало да създава проблеми.

Може да срещнете грешка при невъзможност за установяване на автентичността на хоста само при последващи връзки към доверен сървър.

Файлът обаче ще бъде пресъздаден автоматично, след като се свържете с друг отдалечен хост с SSH клиент.

Как мога да предотвратя проблеми с автентичността на хоста в бъдеще?

Проблемът с невъзможността да се установи автентичността на хоста е нормален, когато се свързвате към сървър за първи път. Така че в идеалния случай не трябва да деактивирате предупреждението за сигурност.

Въпреки това, за да предотвратите тази грешка на надеждни сървъри, особено при последващи връзки, уверете се, че хостът не е компрометиран и че се свързвате с правилния и актуализиран ключ.

Стигнахме до края на това ръководство за това как да коригираме проблема с невъзможността за установяване на автентичността на хоста. Тази подкана в повечето случаи е нормален сигнал за сигурност, но може също да означава, че отдалеченият хост е бил компрометиран.

Подобно на лош собственик или разрешения за SSH конфигурацията този проблем може да бъде разрешен чрез изпълнение на няколко команди.

Освен това, ако получавате грешката, когато се свързвате със сървър за първи път, знайте, че това е нещо нормално. Така че можете просто да изберете опцията Да, ако имате доверие на сървъра.

Да го завъртя, ако искаш да знаеш как да инсталирате RSAT на Windows 11, вижте нашето подробно ръководство по темата.