大家怎么确认 ssh 服务器指纹的

yes

什么意思，不按 yes 能连上吗

这个意思是校对下再同意？

@nutting 我的问题是怎样确认显示的指纹不是伪造的

@mringg 对啊，不确认就连不上，连上了才能知道真正的指纹，这不就死循环了

@ghostheaven 变了以后不久连不上了

@Showfom 问题是第一次连接的时候不知道指纹是不是对的

自己的机器面对面登录
云服务器从服务商提供的 vnc 登录

@blankme 嗯。但还有 github 这种怎么办

@ghostheaven GitHub 的 ssh 服务器指纹： https://help.github.com/articles/github-s-ssh-key-fingerprints/

之前我也有过楼主这种困惑，只要你首次 ssh 登陆前，肉身登陆 shell （或者用 vps 提供商的伪·人肉 shell ）看一眼就行了

至于以上都无法提供的其他服务商，靠谱点的你找找都会找到的，至少我接触过的几家靠谱的都有嘿嘿

你可以假设劫持是小概率事件。然后你第一次连接就被劫持的概率足够小。那么就可以无视第一次连接验证。
如果你假设劫持是大概率事件……呃，那就只能 console access 上去看指纹了。

@ghostheaven 你可以 console 上去先看一下啊

这种事情都该 IDC 提供的，包括 Windows VPS 的 RDP 证书指纹也是。

比如 Azure 的
Windows：

Linux：

指纹确认的安全只能由其他安全途径确认。

你要真有这需要，上 dns 的 SSHFP 记录，担心 dns 一块被劫持了，上证书，https://www.digitalocean.com/community/tutorials/how-to-create-an-ssh-ca-to-validate-hosts-and-clients-with-ubuntu
只是说，这部分工作的开销是不是值得？

GCE 会在 web 的 shell 里面提供

@msg7086 @tinyproxy @DoraJDJ @blankme @BOYPT 补充问题，指纹有可能被中间人伪造吗？比如提前请求下 github，然后伪造一个完全一样的指纹。

@ghostheaven #19 指纹其实就是通信公钥的 sha 哈希值，如果你能制造一个散列相同的碰撞，就可以完成中间人攻击。