SSH中的“无法建立主机的真实性”消息是否反映出安全风险？

每当我从计算机连接到新的SSH服务器时，都会收到以下消息：

The authenticity of host '[censored]:censored ([0.0.0.0]:censored)' can't be established.
RSA key fingerprint is SHA256:censored.
Are you sure you want to continue connecting (yes/no)?

SSH为什么问我这个？

我有连接到随机SSH服务器的风险吗？

还是只是为了确保您要连接的服务器未被黑客入侵？

之所以问您，是因为它以前从未连接过该主机。

如果您在安全的环境中，那么您将知道远程主机的指纹，并会在第一个连接上进行比较-如果指纹与您知道的指纹相匹配，那就太好了。如果您处于不太安全的环境中，则可以在首次连接时接受它。

一旦您说出“ 是的，我信任该主机密钥，并希望将其与该主机名/ IP关联 ”，SSH客户端便会为您记住这一点...如果出于任何原因（重新安装/新主机密钥/新中间的机器/人）密钥在后续连接中不匹配，您将看到如下警告：

$ ssh baloo
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
SHA256:Su0uy/4BcRcpmyLfxO9ndlcda52F8uct6yWNp7Sa92M.
Please contact your system administrator.
Add correct host key in /home/attie/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /home/attie/.ssh/known_hosts:65
  remove with:
  ssh-keygen -f "/home/attie/.ssh/known_hosts" -R baloo
ECDSA host key for baloo has changed and you have requested strict checking.
Host key verification failed.

在这种情况下，如果您知道确实更改了远程主机，则可以继续...可能会验证指纹正确。

如果不确定，或者知道远程主机不应该更改，那么它将提示您潜在的攻击。

当您收到此消息时，SSH只是说：“我以前从未见过这台计算机，所以我不能确定它是它所说的那个人。您信任它吗？” 此时，您可以说您信任它，并且将来您的计算机会记住并且不再询问您。

理想情况下，要信任它，您应该手动比较服务器上与该密钥一起提供的密钥（因为您可以通过检查您认为它所属的人是否可以实际生成公共密钥来信任GPG密钥）。尽管实际上人们对此并不打扰（至少据我所知）。

真正的好处来自您随后每次连接到服务器的时间。如果SSH抱怨您已经信任的服务器不是同一台服务器，那么您很可能成为MiTM攻击的受害者。

总体而言，如果您确信网络上没有“中间人”攻击，那么这是您第一次连接到计算机，那么您应该放心接受密钥。（尽管如果您正在执行某项最高机密的政府任务，那么在连接之前，可能会要求系统管理员验证指纹）