今天,我在做 a 时收到一条消息git push,说
警告:将 IP 地址“192.30.253.112”的 RSA 主机密钥永久添加到已知主机列表中。
似乎它与 GitHub 使用的一致,基于 GitHub 使用哪些 IP 地址,我应该将其列入白名单?虽然我还没有尝试查找 CIDR 表示法的工作原理。
但是,如果我尝试在http://ip-lookup.net/index.php查找 192.30.253.112 ,“主机”信息只有一个字面问号。只有当我打开“IP 所有者信息 (Whois)”部分时,我才会看到它与 GitHub 相关联。
从安全角度来看,我应该担心这种不寻常的行为吗?
不,你不应该担心,但你应该检查GitHub 的服务器指纹,而不是依赖 IP 地址。
使用git命令,您只能在第一次(曾经)连接时执行此操作。如果公钥(对应于指纹)在known_hosts文件中,则后续连接github.com只会在域被解析为新 IP 地址时引起警告。它相当于使用ssh带有CheckHostIP=no选项的命令。
如果屏幕上显示新指纹以供确认,您应该谨慎(并与受信任的来源核实)。
关于ip-lookup.net结果:
ip-lookup.net 使用反向 DNS 找出与 IP 地址相关联的 DNS 名称。
如果192.30.253.112它查询112.253.30.192.in-addr.arpa没有相应的转发 DNS 记录的地址。
这似乎是 GitHub 端的错误配置或未严格执行的配置,但验证机制在这种情况下不可行。
在 Git (SSH) 客户端连接到github.com域的情况下,如果您假设受损的 DNS 服务器重定向到恶意 IP,则使用反向 DNS 查找验证目标地址将容易受到相同的攻击(受损的 DNS 服务器将确认地址属于github.com具有反向 DNS 的所有者)。
无论 IP 所有权验证如何,检查服务器指纹可确保不会发生服务器模拟或中间人攻击。