-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On 08-07-2008 18:22, Sávio Ramos wrote: > Em Mon, 07 Jul 2008 23:05:20 -0300 > "Felipe Augusto van de Wiel \(faw\)" <[EMAIL PROTECTED]> escreveu: > >> logo, apagar o diretório .ssh não resolve o >> problema, apenas tapa o Sol com a peneira. > > Humm... Eu tapei o sol com a peneira.
A maioria das pessoas faz... por isso que costuma-se dizer que "segurança é um processo e não um produto" e é por esse motivo que SCAMs e técnicas de Phishing tem sucesso, porque as pessoas não verificam alguns itens criados para garantir a segurança delas. :-) >> Se o servidor em questão realmente trocou o certificado >> então você deve informar para o SSH o novo certificado, você >> pode remover a linha afetada no know_hosts ou removê-la e >> adicionar a nova linha através do novo SSH, claro, você deve >> checar pra ver se o "fingerprint" bate com o do servidor. > > Agradeço sua explicação, mas foi muito complicada para um > usuário leigo como eu. Desculpe, minha bola de cristal USB está na manutenção e eu não consegui adivinhar que você era um usuário leigo, então vamos tentar de novo. Um dos pontos de segurança do SSH utiliza uma espécie de certificado digital, quando você acessa um servidor pela primeira vez esse certificado é armazenado na sua máquina, por exemplo, quando você removeu o .ssh e conectou no servidor ele pediu uma confirmação, algo parecido com isso: $ ssh [EMAIL PROTECTED] The authenticity of host 'maquina (1.2.3.4)' can't be established. RSA key fingerprint is aa:bb:cc:dd:ee:ff:00:11:22:33:44:55:66:77:88:99. Are you sure you want to continue connecting (yes/no)? Quando você diz que tem certeza que quer continuar a idéia é que você verificou o "fingerprint" da chave RSA, essa é a impressão digital da "chave criptográfica" que o servidor usa pra se identificar e que faz parte do processo de criptografia que protege a sua conexão, ou seja, sua sessão SSH. O resultado é armazenado dentro do .ssh num arquivo chamado known_hosts, cujo conteúdo pode parecer estranho mas na verdade é bem simples, em cada linha há pelo menos três campos, sendo que o fingerprint é beeeem longo e por isso o arquivo parece um monte de caracteres malucos, mas o formato é esse: nome-da-máquina tipo-da-chave fingerprint > Utilizo o ssh apenas para o básico entre as três máquinas da > minha rede. Sua mensagem original não tinha este contexto, neste caso é claro que todas as máquinas estão sob sua guarda e você saberia se alguém mudou algo no meio do caminho, e este é exatamente o ponto da verificação da chave, pois algumas técnicas de roubo de informações fazem com que você pense que está se conectando no servidor normalmente mas na verdade está passando seu usuário e senha para alguém mal intencionado. Ainda assim, acho importante que as pessoas saibam que não é "simplesmente apagar o .ssh", esta não é a única solução e está longe de ser a mais correta. Em segurança, costuma-se dizer que é melhor ter ciência de que você não tem nenhum mecanismo de segurança do que se iludir achando que tem. Por isso saber o mínimo sobre o processo de funcionamento do SSH não dói nem tira pedaço e fará bem caso um dia você tenha que acessar máquinas que não ficam dentro da sua casa. :-) > Creio que tanta segurança assim é desnecessária para o meu > caso, teria que estudar muito para chegar a este patamar de > conhecimento. Ahhh... "tanta segurança"? Digamos que isso seja um ponto *muito* importante do funcionamento do SSH e não um nível elevadíssimo de segurança. Uma coisa é certa: a chave do servidor SSH não mudou sozinha, e esse é exatamente o detalhe que tem que ficar claro, quando a mensagem de aviso sobre a troca de chave aparece é porque algo mudou, se foi intencional e você sabe disso, ótimo, caso contrário fique de olho e confirme se está tudo bem. > Meu foco no uso do computador é outro... Uso para > trabalhar com planilhas, programas gráficos e estatísticos. Ahhhhh tá... achei que você ia usar o SSH, daí a história seria completamente diferente. :-) > De qualquer forma agradeço seu latim. E eu o seu grego. Abraço, - -- Felipe Augusto van de Wiel (faw) "Debian. Freedom to code. Code to freedom!" -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFIdCQpCjAO0JDlykYRApaiAKCgxiD7LGFKjF9hhfEJMo6943rfEQCgkblK XrK27FCBExvyVoH7tNHh81g= =ym3M -----END PGP SIGNATURE----- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]