Проверка отпечатков ключей SSH-сервера

Отпечатки ключей SSH-сервера используются для проверки подлинности ресурса в момент подключения к нему. Использование отпечатков помогает защититься от атак вида MITM (Man in the Middle).

Для отпечатков поддерживается только формат SHA256.

Поддерживаемые алгоритмы:

• Ed25519
• ECDSA
• RSA

Информация

Проверка всегда включена, ее нельзя выключить.

Можно выбрать режим проверки в параметре Аутентификация ресурсов по ключам SSH-сервера в разделе Конфигурация → Системные настройки → Настройки SSH-подключений.

Предварительные требования

Для работы с отпечатками ключа SSH-сервера нужны привилегии Управления ресурсами.

Режимы заполнения отпечатков

Существует три режима заполнения отпечатков ключей SSH-сервера:

• Автоматически заносить отпечатки ключей в PAM

  В этом режиме значение отпечатка заносится в РАМ без участия администратора. Отпечаток сохраняется в PAM только если он не был до этого задан. Отпечаток сохраняется в момент использования сервисного подключения (проверка соединения, проверка/ротация паролей, проверка/ротация SSH-ключа, синхронизация) или в момент использования пользовательского подключения (при открытии сессии пользователем). Отпечаток заносится только один раз, после этого только проверяется, то есть он не перезаписывается. Проверка отпечатка происходит всегда.

• Заносить отпечатки в PAM только вручную

  В этом режиме сохранение отпечатка в РАМ выполняется администратором РАМ. Администратор PAM может вручную указать значение отпечатка, предварительно выбрав один из трех доступных алгоритмов или получить готовое значение отпечатка с удаленного хоста. Проверка отпечатка происходит всегда. Если отпечаток не указан, то подключение недоступно.

• Заносить отпечатки в PAM только вручную и проверять, только если они указаны

  В этом режиме сохранение отпечатка в РАМ выполняется администратором РАМ. Администратор PAM может вручную указать значение отпечатка, предварительно выбрав один из трех доступных алгоритмов или получить готовое значение отпечатка с удаленного хоста. Отличие этого режима от предыдущего в том, что если отпечаток не указан, проверка отпечатка выполняться не будет. То есть если отпечаток не указан, подключение к ресурсу все равно доступно.

  Не рекомендуется выбирать этот вариант, т.к. это снижает уровень информационной безопасности.

Выбор ресурсов для добавления отпечатков

1. Откройте раздел Ресурсы.
2. Откройте Расширенный поиск.
3. Выберите одно из значений в поле Отпечаток SSH-ключа:
   • Не совпадает в СП/ПП
     Для поиска ресурсов, у которых значение отпечатка в PAM и значение отпечатка на ресурсе не совпадают друг с другом.
   • Не установлен в СП/ПП
     Для поиска ресурсов, для которых отпечаток не занесен в PAM.

Добавление отпечатков

Добавлять отпечатки можно тремя способами:

• вручную
• автоматически
• групповой операцией

Добавление отпечатков вручную

Ввести значение отпечатка самостоятельно

Для добавления отпечатка для сервисного подключения выполните следующие действия:

1. Откройте профиль нужного ресурса.
2. Нажмите справа от поля Сервисное подключение.
3. В секции Отпечаток SSH-ключа выберите Указать вручную.
4. Выберите Алгоритм. Рекомендуется выбирать Ed25519, потому что это самый безопасный вариант.
5. Введите значение в поле Отпечаток.
6. Нажмите Вперед.
7. Выберите нужную сервисную учетную запись.
8. Нажмите Сохранить.

Для добавления отпечатка для пользовательского подключения выполните следующие действия:

1. Откройте профиль нужного ресурса.
2. Найдите нужное подключение с типом SSH и нажмите Редактировать.
3. В секции Отпечаток SSH-ключа выберите Указать вручную.
4. Выберите Алгоритм. Рекомендуется выбирать Ed25519, потому что это самый безопасный вариант.
5. Введите значение в поле Отпечаток.
6. Нажмите Сохранить.

Получить значение отпечатка с ресурса

Для добавления отпечатка для сервисного подключения выполните следующие действия:

1. Откройте профиль нужного ресурса.
2. Нажмите справа от поля Сервисное подключение.
3. В секции Отпечаток SSH-ключа выберите Получить с ресурса.
4. Нажмите Использовать значение отпечатка с ресурса.
5. Нажмите Вперед.
6. Выберите нужную сервисную учетную запись.
7. Нажмите Сохранить.

Для добавления отпечатка для пользовательского подключения выполните следующие действия:

1. Откройте профиль нужного ресурса.
2. Найдите нужное подключение с типом SSH и нажмите Редактировать.
3. В секции Отпечаток SSH-ключа выберите Получить с ресурса.
4. Нажмите Использовать значение отпечатка с ресурса.
5. Нажмите Сохранить.

Добавление отпечатков автоматически

Предупреждение

Этот способ работает только если в настройках SSH-подключений выбран режим Автоматически заносить отпечатки ключей в PAM.

Отпечатки для сервисного подключения задаются автоматически в момент использования сервисного подключения, например:

• проверка соединения
• проверка или смена пароля или SSH-ключа по расписанию
• синхронизация ресурса

Отпечатки для пользовательского подключения также задаются автоматически в момент использования пользовательского подключения, то есть при открытии сессии пользователем.

Информация

В автоматическом режиме отпечатки только заносятся, но не перезаписываются.

Добавление отпечатков групповой операцией

С помощью этой операции можно задать отпечатки для нескольких ресурсов сразу. Для этого выполните следующие действия:

1. Откройте раздел Ресурсы.
2. Выберите один или несколько ресурсов, у которых есть сервисное и/или пользовательское подключение с типом SSH и не задан отпечаток ключа.
3. Нажмите Получить отпечаток с ресурса и подтвердите действие кнопкой Вперед.

Информация

С помощью этой операции отпечатки заносятся только если до этого значение отпечатка было не задано, то есть имеющиеся отпечатки не перезаписываются.

Дополнительная информация о работе отпечатков SSH-ключей

• Атрибут Отпечаток SSH-ключа привязан не к ресурсу, а к подключению. Поэтому у обоих типов подключений (сервисное и пользовательское) есть свой атрибут для отпечатка SSH-ключа. Это сделано для случаев, когда на удаленном хосте установлено более одного SSH-сервера. Факт наличия или отсутствия отпечатка у одного из подключений не влияет на работу другого. Поэтому значения отпечатков для разных подключений одного и того же ресурса могут содержать разные значения.

• Проверка отпечатка SSH-ключа выполняется до аутентификации на ресурсе, т.е. до передачи учетных данных на ресурс.

• Если в настройках SSH-подключений выбран режим Заносить отпечатки в PAM только вручную и атрибут для отпечатка в PAM остался незаполненным, то подключение к ресурсу будет недоступно. В журнале появится событие о неуспешном подключении, на странице ресурса появится предупреждение красного цвета с описанием причины ошибки, перечислением несовпавших отпечатков и указанием типа подключения.

• Если в настройках SSH-подключений выбран режим Заносить отпечатки в PAM только вручную, атрибут для отпечатка в PAM заполнен, а на ресурсе отсутствует ключ для указанного алгоритма или отсутствуют любые ключи, то подключение к ресурсу будет недоступно. В журнале появится событие о неуспешном подключении, на странице ресурса появится предупреждение красного цвета с описанием причины ошибки, перечислением несовпавших отпечатков и указанием типа подключения.

• Для устранения ошибки о несовпадении отпечатка и восстановления корректной работы операций требуется заново получить отпечаток SSH-ключа с удаленного хоста, подробнее в пункте Добавление отпечатков.