Hilfe bei SSH Zugang

[Charly1311]

Hallo zusammen,

ich wollte, nach einer Sicherung, meine NAS neu aufsetzen (läuft ja noch nicht lange).

Das hat auch geklappt, aber ich kann die M2 nicht mehr als Volume einbinden, da ich nicht per ssh auf die Nas komme.

Ich bekomme folgende Meldung:

C:\Users\mail>ssh admin@192.168.1.5 -p 22
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ED25519 key sent by the remote host is
SHA256:VCXM5Zbl2z2z5tqrS2JMrXQ4XnEjiCrncQgENTmU6cQ.
Please contact your system administrator.
Add correct host key in C:\\Users\\mail/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in C:\\Users\\mail/.ssh/known_hosts:5
Host key for 192.168.1.5 has changed and you have requested strict checking.
Host key verification failed.

Wieso bekomme ich das ? Es hatte doch schon mal funktioniert.

Viele Grüße
Karl-Heinz

 

[maxblank]

Dann stelle die Sicherheitsstufe unter den erweiterten SSH-Einstellungen mal auf niedrig und teste dann nochmals.

 

[goetz]

Hallo,

Offending ECDSA key in C:\\Users\\mail/.ssh/known_hosts:5

lösche in der obigen Datei den 5. Schlüssel, verbinde neu und bestätige den neuen Schlüssel mit yes.

Gruß Götz

 

[Charly1311]

Hallo maxblank,

hat funktioniert.

Danke

 

[maxblank]

Prima. Stelle es danach wieder mindestens auf „Mittel“.

 

[redsnapper]

Habe ein ähnliches Problem - kann ich den Fingerprint, der mir auf meinem Rechner bei versuchter Anmeldung per SSH angezeigt wird, auf der Diskstation DS213j irgendwo kontrollieren ohne mich per SSH einzuloggen? Über die DSM? Er scheint nicht mit dem SHA-256 Fingerprint des Zertifikats für den https Zugang übereinzusitmmen.
Vielen Dank!

 

[Hagen2000]

Nein und nein, da ist mir nichts bekannt.
Der Fingerprint stimmt nicht mit dem des Zertifikats für HTTPS überein, da er damit nichts zu tun hat. Das ssh-Protokoll verwendet eigene Schlüssel und arbeitet nach dem TOFU-Prinzip: Trust On First Use, d.h. bei der ersten Verbindung sprichst Du das Vertrauen aus, dass du mit dem richtigen Server verbunden bist.
Die öffentlichen Schlüssel für ssh liegen im Verzeichnis /etc/ssh auf dem NAS und hier kannst du den Fingerprint berechnen (nachdem du eingeloggt bist). Beispiel:

ssh-keygen -lf /etc/ssh/ssh_host_ed25519_key.pub -E md5

Welcher Schlüssel verwendet wird, hängt vom ausgehandelten Verschlüsselungsverfahren ab. Die Option -E md5 sorgt für die Ausgabe als MD5 Hash. Ohne die Option wird der Fingerprint als SHA256 Hash ausgegeben.

 

[redsnapper]

Vielen Dank.Ändert dieser sich denn ständig/täglich? Heute wird mir da ein ganz anderer SHA-256 angezeigt, als gestern...?
Kann ich auch aus der DSM GUI auf das /etc/ssh Verzeichnis zugreifen?

 

[Hagen2000]

Die Schlüssel werden bei der Installation von DSM einmalig per Zufallsgenerator generiert - Du solltest am jeweiligen Dateidatum sehen können, wie alt sie sind. Natürlich kann man manuell die Schlüssel neu generieren bzw. passiert das eventuell bei der Installation von Updates, die neue Verschlüsselungsverfahren mitbringen automatisch für die neuen Schlüssel.
Wo hast Du dir denn den SHA-256 anzeigen lassen?

Auf die Systemverzeichnisse kann man, soweit ich weiß, nicht über die GUI zugreifen.

Eigentlich wäre es sinnvoll, wenn man die Fingerprints der öffentlichen Schlüssel irgendwo in den Systeminformationen vorab über die DSM GUI abfragen könnte und somit eine Chance hätte, beim ersten Verbinden per SSH die Übereinstimmung prüfen zu können.

 

[redsnapper]

Eigentlich wäre es sinnvoll, wenn man die Fingerprints der öffentlichen Schlüssel irgendwo in den Systeminformationen vorab über die DSM GUI abfragen könnte und somit eine Chance hätte, beim ersten Verbinden per SSH die Übereinstimmung prüfen zu können.

Hallo Hagen, genau, das fände ich auch sinnvoll.

Zunächst wurde er mir in meinem Terminal des Rechners angezeigt, von dem ich mich per SSH verbinden wollte. Später habe ich ihn dann über SSH aus /etc/ssh ausgelesen. Da hatte er sich schon wieder geändert. (Nach Update der DSM möglicherweise?)

Grüße

 

[Hagen2000]

Das wäre ja fatal, denn aus der Unveränderlichkeit resultiert ja gerade die Sicherheit des TOFU-Prinzips!

Die öffentlichen Schlüssel sind die *.pub-Dateien im /etc/ssh-Verzeichnis und Du musst natürlich die richtige anschauen. Ggf. den ssh-Client mit Option -v starten und in den Debug-Meldungen prüfen, welche Cipher verwendet wird.
Im strict-Modus verweigert ein Client sogar die Verbindungsaufnahme, wenn ein geänderter Schlüssel (Fingerprint) erkannt wird.

Bei meinem NAS sind die öffentlichen Schlüssel übrigens fast alle aus dem Jahr 2014, einige neuere aus 2016 - trotz regelmäßiger Updates.

Schau dir das nochmal in Ruhe an, da musst Du irgendetwas verwechselt haben.

 

[redsnapper]

Möglich! Im ersten Verbindungsversuch hat er tatsächlich die Verbindungsaufnahme verweigert. Ich musste zunächst die "known-hosts" löschen. Da ich nur in meinem eigenen LAN unterwegs bin, hielt ich die Gefahr einer man-in-the-middle Attacke für eher gering...