You are not logged in. Please login or register.
TuxFamily's forum → Aide à l'utilisation de Tuxfamily → TF Vérifier empreintes clé SSH
Bonjour,
Cette page n’a plus l’air d’actualité.
https://www.tuxfamily.org/en/news/2008051401
The authenticity of host 'ssh.tuxfamily.org (212.85.158.7)' can't be established.
RSA key fingerprint is SHA256:2I7RpLvWCbEPDVMd3O9T3N/MVQlPWL1uVVxPYO1yvYc.
ssh-keyscan 212.85.158.7Bon, j’ai fait ça et après? Comment je vérifie que c’est bien la bonne empreinte?
Merci! (et je veux bien rajouter l’info précise à la FAQ quand j’aurai tout compris)
Hello,
Cette page n’a plus l’air d’actualité. https://www.tuxfamily.org/en/news/2008051401
Pour une news de 2008 (10 ans déjà !), ça n'est que moyennement choquant :)
The authenticity of host 'ssh.tuxfamily.org (212.85.158.7)' can't be established.
RSA key fingerprint is SHA256:2I7RpLvWCbEPDVMd3O9T3N/MVQlPWL1uVVxPYO1yvYc.
Ok, SHA256:2I7RpLvWCbEPDVMd3O9T3N/MVQlPWL1uVVxPYO1yvYc... Je te confirme que ce fingerprint est correct
ssh-keyscan 212.85.158.7
Cette commande-ci devrait te retourner :
212.85.158.7 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA1YP+v8DIEXdL8NCiTWe7EuSd2rkVd9GWspru2W8s1Be0tMcoDOvPUAQ0lzty/9X6rsPbCH/64tg8YVfdbgX5Bxt9+g1chFiDgpyDcvwUypI88UOKzde7u8KZeFnGegCti0J5ZU2r1s0fQyzaG3gNllbSz9zAuBoCrXEyOphToSh3Go141Bc8NxQn4DbIz6lpJmrHfcy1s8AzJZxeDfOy12XuJecY7QUGXIJkz9ffQJtlHIc+mbs+p+QDc2Is1GTMo57J2aeGVsKtwtOVRKasqqOQ++P4le/wMuHp47mbptAa8UGqRSx6Fge+27OixPQTcsq5w7L48VES0IHrECfp2Q==Bon, j’ai fait ça et après? Comment je vérifie que c’est bien la bonne empreinte?
Merci! (et je veux bien rajouter l’info précise à la FAQ quand j’aurai tout compris)
Pour être franc, notre exposition des fingerprints est au mieux chaotique, au pire inexistante, comme le démontre une recherche du mot-clé "fingerprint" sur notre FAQ. N'hésite pas à compléter cette dernière, elle a été conçue dans cette optique.
Merci Xavier,
En fait la page https://www.tuxfamily.org/en/news/2008051401 est restée d’actualité jusqu’à Debian Jessie. Mais en passant à Debian Stretch, rien ne va plus ;)
En fait, je ne sais plus comment j’avais fait, mais j’avais pu afficher l’empreinte de la clé en raccourci si on peut dire.
J’avais fait ça à l’époque:
ssh-keygen -lf key.pub
Mais est-ce que ça vérifie quelque chose (je ne crois pas) ou ça enregistre la clé, bonne ou pas bonne?
Mes excuses pour ce pataugage
Et en passant, votre poisson était instructif et rigolo à la fois :-D
En fait la page https://www.tuxfamily.org/en/news/2008051401 est restée d’actualité jusqu’à Debian Jessie. Mais en passant à Debian Stretch, rien ne va plus ;)
Je pense que tu veux dire de Wheezy à Jessie, parce que Jessie, on y est toujours et Stretch, on n'y est pas encore :)
J’avais fait ça à l’époque:
ssh-keygen -lf key.pubMais est-ce que ça vérifie quelque chose (je ne crois pas) ou ça enregistre la clé, bonne ou pas bonne?
Ça ne vérifie rien, ça n'enregistre rien, ça ne fait qu'afficher le fingerprint de la clé publique contenue dans key.pub... Mais ça se cumule bien avec ta commande précédente :
ssh-keyscan 212.85.158.7 > tuxfamily-ssh.pub
ssh-keygen -lf tuxfamily-ssh.pubSortie:
2048 SHA256:2I7RpLvWCbEPDVMd3O9T3N/MVQlPWL1uVVxPYO1yvYc 212.85.158.7 (RSA)Comme tu peux le constater, cela correspond exactement à ce que te sortait ton client ssh lors de ta première connexion.
Concernant la façon de vérifier : par définition, il n'y a pas de moyen magique de vérifier le fingerprint lors de la première connexion, il faut aller chercher la valeur attendue par un moyen tiers auquel on fait confiance ; par exemple, il faudrait idéalement qu'on maintienne une page dédiée sur la FAQ pour exposer ce fingerprint (et les autres). Auquel cas, c'est à la FAQ que tu ferais confiance.
Et en passant, votre poisson était instructif et rigolo à la fois :-D
Merci -- pas de faute d'anglais cette année ? :)
Ah, grand merci xavier, c’est le petit truc qui me manquait:
ssh-keyscan 212.85.158.7 > tuxfamily-ssh.pub
ssh-keygen -lf tuxfamily-ssh.pubConcernant la façon de vérifier : par définition, il n'y a pas de moyen magique de vérifier le fingerprint lors de la première connexion, il faut aller chercher la valeur attendue par un moyen tiers auquel on fait confiance ; par exemple, il faudrait idéalement qu'on maintienne une page dédiée sur la FAQ pour exposer ce fingerprint (et les autres). Auquel cas, c'est à la FAQ que tu ferais confiance.
Oui, ça je comprends bien. C’est comme les clés publiques des gens, rien ne vaut une key-signing party.
Sur la FAQ, n’importe qui peut faire des modifications, j’aurais plus confiance dans une page de news que l’équipe de TF fait elle-même. On peut avoir davantage confiance dans le travail de TF pour la bonne marche et la sécurité des serveurs que dans Yahoo ou Orange ;-)
Passage de versions de Debian: ce n’était pas clair, je voulais parler de mon passage à moi. Sous ma Jessie, la page de 2008 fonctionnait encore pour moi, j’ai pu "vérifier" les clés. Donc, ce fut une page longue durée ;-)
Pour l’anglais du poisson, j’ai lu rapidement mais il y a quelques hics. Veux-tu que je propose une correction? C’est peut-être un peu tard?
Sur la FAQ, n’importe qui peut faire des modifications, j’aurais plus confiance dans une page de news que l’équipe de TF fait elle-même.
Ah oui, j'avais zappé cet aspect. C'est donc à nous de prendre ça en charge.
Pour l’anglais du poisson, j’ai lu rapidement mais il y a quelques hics. Veux-tu que je propose une correction? C’est peut-être un peu tard?
Un peu tard pour l'audience initialement visée mais pas trop tard pour le reste du monde. Sans même proposer une correction, nous faire une liste succinte des principaux hics nous aiderait déjà beaucoup. Dans la pratique, tu peux nous communiquer cela soit sur ce forum (dans un nouveau topic), soit par email à l'équipe de modération.
Merci beaucoup pour http://fingerprint.tuxfamily.org/
Il manque encore HTTPS mais ça va sûrement venir.
Et je n’ai pas bien compris:
(also, you should end up on "pastis")
Ça veut dire que si on s’est connecté en SSH à ssh.tuxfamily.org, on doit voir une invite contenant le nom du serveur
pastis?
Pour le poisson, ok pour les hics et bien sûr je n’aurais pas fait les corrections dans ce fil ;-)
Merci beaucoup pour http://fingerprint.tuxfamily.org/
Il manque encore HTTPS mais ça va sûrement venir.
En effet : HTTPS apparaît dans la nuit suivant la création d'un espace web, d'où le délai, mais c'est désormais chose faite.
Et je n’ai pas bien compris:
(also, you should end up on "pastis")
Ça veut dire que si on s’est connecté en SSH à ssh.tuxfamily.org, on doit voir une invite contenant le nom du serveur pastis ?
Oui, tout à fait -- j'ai retouché le texte pour clarifier ça. Ça n'est pas un gage de sécurité, loin de là, mais ça reste une information utile.
TuxFamily's forum → Aide à l'utilisation de Tuxfamily → TF Vérifier empreintes clé SSH