Porównaj ceny domen i usług IT, sprzedawców z całego świata

Bypass Rsync Prompt „Czy na pewno chcesz kontynuować połączenie”


Jak obejść to pytanie lub dodać flagę, która automatycznie na nie odpowie?
Ponieważ próbuję napisać skrypt, a to pytanie ciągle zatrzymuje proces rsync, ponieważ nie ma sposobu, aby odpowiedzieć na to pytanie w skrypcie po wyświetleniu monitu.
Zaproszony:
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Ustaw parametr
StrictHostKeyChecking
na
no
w pliku konfiguracyjnym lub za pomocą
-o
.
Użyj parametru
e
z
rsync
, aby przekazać parametry do
ssh
:
-e "ssh -o StrictHostKeyChecking=no"
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Znalazłem więc wiele niebezpiecznych odpowiedzi, które działają, ale najlepszym sposobem jest niewiele więcej pracy, więc szukałem postów, które doradzają mniej bezpieczny sposób wykonywania rzeczy związanych z SSH, takich jak rsync. Szukałem wspólnego sposobu na obejście nieznanej ręcznej interakcji z hostem przy klonowaniu repozytorium git, jak poniżej, ale działa to, jak wspomniano, rsync i inne technologie:
brad@computer:~$ git clone git@bitbucket.org:viperks/viperks-api.git
Cloning into 'viperks-api'...
The authenticity of host 'bitbucket.org (104.192.143.3)' can't be established.
RSA key fingerprint is 97:8c:1b:f2:6f:14:6b:5c:3b:ec:aa:46:46:74:7c:40.
Are you sure you want to continue connecting (yes/no)?

Zwróć uwagę na odcisk cyfrowy klucza RSA ...
Więc to jest sprawa SSH, to będzie działać dla git zamiast SSH i tylko rzeczy związanych z SSH w ogóle ...
brad@computer:~$ nmap bitbucket.org --script ssh-hostkeyStarting Nmap 7.01 ( [url=https://nmap.org]https://nmap.org[/url] ) at 2016-10-05 10:21 EDT
Nmap scan report for bitbucket.org (104.192.143.3)
Host is up (0.032s latency).
Other addresses for bitbucket.org (not scanned): 104.192.143.2 104.192.143.1 2401:1d80:1010::150
Not shown: 997 filtered ports
PORT STATE SERVICE
22/tcp open ssh
| ssh-hostkey:
| 1024 35:ee:d7:b8:ef:d7:79:e2:c6:43:9e:ab:40:6f:50:74 (DSA)
|_ 2048 97:8c:1b:f2:6f:14:6b:5c:3b:ec:aa:46:46:74:7c:40 (RSA)
80/tcp open http
443/tcp open httpsNmap done: 1 IP address (1 host up) scanned in 42.42 seconds

Najpierw zainstaluj nmap w swoim codziennym sterowniku. nmap jest bardzo przydatny do niektórych rzeczy, takich jak wykrywanie otwartych portów i jest to ręczna weryfikacja linii papilarnych SSH. Ale wracając do tego, co robimy.
W porządku. Jestem zagrożony w wielu lokalizacjach i maszynach, które testowałem, albo bardziej wiarygodnym wyjaśnieniem, że to wszystko są hacki Dory, jest to, co się dzieje.
Ten „odcisk palca” to po prostu ciąg, obcięty przez jednokierunkowy algorytm dla naszej wygody, z ryzykiem, że więcej niż jedna linia zostanie przekształcona w ten sam odcisk palca. Czasami nazywane są kolizjami.
W każdym razie wróćmy do oryginalnej linii, którą możemy zobaczyć w kontekście poniżej.
brad@computer:~$ ssh-keyscan bitbucket.org
# bitbucket.org SSH-2.0-conker_1.0.257-ce87fba app-128
no hostkey alg
# bitbucket.org SSH-2.0-conker_1.0.257-ce87fba app-129
bitbucket.org ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAubiN81eDcafrgMeLzaFPsw2kNvEcqTKl/VqLat/MaB33pZy0y3rJZtnqwR2qOOvbwKZYKiEO1O6VqNEBxKvJJelCq0dTXWT5pbO2gDXC6h6QDXCaHo6pOHGPUy+YBaGQRGuSusMEASYiWunYN0vCAI8QaXnWMXNMdFP3jHAJH0eDsoiGnLPBlBp4TNm6rYI74nMzgz3B9IikW4WVK+dc8KZJZWYjAuORU3jc1c/NPskD2ASinf8v3xnfXeukU0sJ5N6m5E8VLjObPEO+mN2t/FZTMZLiFqPWc/ALSqnMnnhwrNi2rbfg/rd/IpL8Le3pSBne8+seeFVBoGqzHM9yXw==
# bitbucket.org SSH-2.0-conker_1.0.257-ce87fba app-123
no hostkey alg

Wcześniej możemy więc poprosić oryginalnego przewoźnika o formularz identyfikacyjny.
W tym momencie jesteśmy tak samo podatni na ataki jak ciągi z automatycznym dopasowaniem, mamy podstawowe dane, które tworzą odcisk palca i możemy w przyszłości sprawdzać te podstawowe dane (zapobiegając kolizjom).
Teraz musisz użyć tej linii w taki sposób, aby nie pytać o autentyczność hostów ...
W tym przypadku plik znane_hosts nie używa rekordów w postaci zwykłego tekstu. Rozpoznasz zaszyfrowane wpisy, gdy je zobaczysz, wyglądają jak skróty z losowymi znakami zamiast xyz.com lub 123.45.67.89.
brad@computer:~$ ssh-keyscan -t rsa -H bitbucket.org
# bitbucket.org SSH-2.0-conker_1.0.257-ce87fba app-128
|1|yr6p7i8doyLhDtrrnWDk7m9QVXk=|LuKNg9gypeDhfRo/AvLTAlxnyQw= ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAubiN81eDcafrgMeLzaFPsw2kNvEcqTKl/VqLat/MaB33pZy0y3rJZtnqwR2qOOvbwKZYKiEO1O6VqNEBxKvJJelCq0dTXWT5pbO2gDXC6h6QDXCaHo6pOHGPUy+YBaGQRGuSusMEASYiWunYN0vCAI8QaXnWMXNMdFP3jHAJH0eDsoiGnLPBlBp4TNm6rYI74nMzgz3B9IikW4WVK+dc8KZJZWYjAuORU3jc1c/NPskD2ASinf8v3xnfXeukU0sJ5N6m5E8VLjObPEO+mN2t/FZTMZLiFqPWc/ALSqnMnnhwrNi2rbfg/rd/IpL8Le3pSBne8+seeFVBoGqzHM9yXw==

Pierwsza linia komentarza jest irytująca, ale możesz się jej pozbyć za pomocą prostego przekierowania za pomocą przycisku „& >” lub „& > & >”.
Ponieważ dołożyłem wszelkich starań, aby uzyskać czyste dane, które zostaną użyte do identyfikacji „hosta” i zaufania, dodam tę identyfikację do mojego pliku known_hosts w katalogu ~/.ssh. Ponieważ zostanie teraz zidentyfikowany jako znany gospodarz, nie zdobędę wspomnianej wyżej wskazówki, gdy byłeś nastolatkiem.
Dzięki za pozostanie ze mną, proszę bardzo. Dodaję klucz bitbucket RSA, aby móc wchodzić w interakcje z moimi repozytoriami git w sposób nieinteraktywny w ramach przepływu pracy CI, ale nadal robisz to, co chcesz.
#!/bin/bash
cp ~/.ssh/known_hosts ~/.ssh/known_hosts.old && echo "|1|yr6p7i8doyLhDtrrnWDk7m9QVXk=|LuKNg9gypeDhfRo/AvLTAlxnyQw= ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAubiN81eDcafrgMeLzaFPsw2kNvEcqTKl/VqLat/MaB33pZy0y3rJZtnqwR2qOOvbwKZYKiEO1O6VqNEBxKvJJelCq0dTXWT5pbO2gDXC6h6QDXCaHo6pOHGPUy+YBaGQRGuSusMEASYiWunYN0vCAI8QaXnWMXNMdFP3jHAJH0eDsoiGnLPBlBp4TNm6rYI74nMzgz3B9IikW4WVK+dc8KZJZWYjAuORU3jc1c/NPskD2ASinf8v3xnfXeukU0sJ5N6m5E8VLjObPEO+mN2t/FZTMZLiFqPWc/ALSqnMnnhwrNi2rbfg/rd/IpL8Le3pSBne8+seeFVBoGqzHM9yXw==" >> ~/.ssh/known_hosts

Tak więc dzisiaj pozostajesz dziewicą. Możesz zrobić to samo na githubie, postępując zgodnie z podobnymi wskazówkami w swoim wolnym czasie.
Widziałem tak wiele postów o przepełnieniu stosu, które mówiły, że programowo dodajesz klucz na ślepo, bez żadnej weryfikacji. Im częściej weryfikujesz klucz z różnych komputerów w różnych sieciach, tym bardziej możesz mieć pewność, że host jest tym, za kogo się podaje - i jest to najlepsze, na co możesz liczyć na tym poziomie bezpieczeństwa.
WRONG
<del>
ssh -oStrictHostKeyChecking = no hostname [polecenie
</del>
]
WRONG
<del>
ssh-keyscan-t rsa-H nazwa hosta & > & > ~/.ssh/znane_hosty
</del>
Prosimy nie wykonywać żadnej z powyższych czynności. Masz możliwość zwiększenia swoich szans na uniknięcie podsłuchiwania transmisji danych przez osobę w trakcie ataku - skorzystaj z tej okazji. Różnica polega na tym, że dosłownie sprawdzasz, czy posiadany klucz RSA jest prawdziwym kluczem serwera, a teraz wiesz, jak uzyskać te informacje, aby je porównać, aby móc zaufać połączeniu. Pamiętaj, więcej porównań z różnych komputerów i sieci zwykle zwiększają zaufanie do połączenia.

Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się