Kuinka estää kauko-isännän tunnistamista koskevat viestit ovat muuttuneet

Voiko estää seuraavan viestin aiheesta: (KAUKOPOSTIEN TUNNISTUS ON MUUTTUU)

Kun käytetään vain tätä yhteyden syntaksia

 ssh xxx.xxx.xxx.xxx 

Esimerkki varoitusviestistä:

 ssh 10.19.11.1 CentOS release 5.8 (Final) Kernel 2.6.18-308.el5 on an i686 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that the RSA host key has just been changed. The fingerprint for the RSA key sent by the remote host is dd:6f:32:8f:8f:8c:70:9c:95:f1:48:83:60:97:cc:ed. Please contact your system administrator. Add correct host key in /root/.ssh/known_hosts to get rid of this message. Offending key in /root/.ssh/known_hosts:7 RSA host key for 10.19.11.1 has changed and you have requested strict checkin. Host key verification failed. 

joka kerta kun saan tämän viestin, siivoan /root/.ssh/known_hosts

kuten

 cp /dev/null /root/.ssh/known_hosts 

Minäkin olin ajatella asettaa komento cp / dev / null /root/.ssh/known_hosts crontabiin,

joten se puhdistaa joka päivä klo 24:00 known_hosts -tiedoston (tämä ratkaisu vähentää tätä ongelmaa, mutta ei ratkaissut sitä )

joten tämä ratkaisu ei ole niin hyvä ratkaisu, koska käyttäjä voi saada varoitusviestin huolimatta siitä, että siivoamme tiedossa olevat isännät-tiedoston joka päivä

ehkä voimme tehdä jotain tiedostossa / etc / ssh / ssh_config-tiedosto estääksesi SSH-isäntäavaimen tarkistuksen?

huomautus:

En halua käyttää seuraavaa tapaa pr tapahtuma SSH-isäntäavaimen tarkistus (koska käytän heijastusta / kittiä)

ssh -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no [email protected] 

Vaadin vain tätä syntaksia nimellä

 ssh xxx.xxx.xxx.xxx 

yhteyden muodostamiseksi

kommentit

  • Yksinkertaisesti sanottuna: don ' t tee se. Luitko todella varoituksen ollenkaan? Tähän varoitukseen on syy. Ja sen tarkoituksena on suojata sinua MitM-hyökkäyksen haitoilta ja muilta pahilta.

Vastaa

Päivitys: Nykyään voit käyttää SSH-varmenteita , samanlaisia kuin TLS todistukset. Sitten voit lisätä known_hosts -merkinnän luottaa varmenteeseen eikä yksittäisiin avaimiin, etkä koskaan saa tätä viestiä uudelleen.


Huomioi @ 0xC0000022L ”varoitus !

Jos tiedät isäntäavainta on vaihdettu , voit poistaa kyseisen tietueen known_hosts -tiedostosta:

ssh-keygen -R xxx.xxx.xxx.xxx 

Tämä on paljon parempi kuin korvata koko hosts-tiedosto (joka voidaan tehdä vain > /root/.ssh/known_hosts).

Jos et halua käyttää ssh mielestäni ainoa tapa tehdä tämä olisi muuttaa SSH-koodia ja kääntää uudelleen. Mikä todella älä halua tehdä!

Kommentit

  • mutta haluan tehdä tämän automaattisella tavalla, kun käyttäjä valittaa tästä, en et halua tehdä sitä manuaalisesti
  • et ' et halua tehdä sitä manuaalisesti (removin g known_hosts -merkinnät), etkä halua tehdä sitä automaattisesti (käyttämällä ssh vaihtoehdot). Kuinka haluat tehdä sen sitten?
  • @ l0b0 Antamalla komentorivivaihtoehdon toiminnon estämiseksi. Joissakin ympäristöissä, kuten virtuaalikoneympäristöissä ja muissa erittäin dynaamisissa kokoonpanoissa (erityisesti testiympäristöissä), nämä isäntäavaimet muuttuvat usein, ja koska ne ovat eristetyssä verkossa, tarkistuksen tekeminen on vain vähän turvallisuutta. ssh-keygen -R täytyy tehdä joka kerta ärsyttävää. Oletan, että voisi kirjoittaa komentotulkin ssh: lle, shell-komentosarjan, joka jäsentää kohdeosoitteen ja poistaa avaimen ennalta ennen vaihtoehtojen siirtämistä ssh: lle, mutta tämä tuntuu ylitaudilta.

Vastaa

vaihe 1: poista viallinen avain

 ssh-keygen -R 192.168.1.1 

vaihe 2: lisää uusi avain

 ssh-keyscan 192.168.1.1 >> ~/.ssh/known_hosts 

tai tilanteestasi riippuen

 > ~/.ssh/known_hosts ssh-keyscan 192.168.1.1 192.168.1.2 ... >> ~/.ssh/known_hosts 

kommentit

  • -1 jalka-aseen toimittamisesta ilman varoitusta.
  • @ l0b0 Oikea kunnia!

Vastaa

Kun muodostat yhteyden heitettäviin virtuaalikoneisiin tai vastaaviin, sinun ei kannata paremmin säilyttää avaimia.

Luo ssh0 alias tai funktio, jolla on seuraava sisältö:

alias ssh0="ssh -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no -o LogLevel=ERROR" 

Tällä tavoin et saastuta ~/.known_hosts tiedosto roskakorilla, ja koska käytät eri komentoa, siellä olisi psykologinen komento rajan ”oikean” ssh: n ja sen välillä, jota käytetään jonkin paikallisen widgetin instrumentointiin.

Toinen hyödyllinen alias on

alias sshy="ssh -o CheckHostIP=no" 

, kun ”muodostetaan yhteys laitteeseen, joka muuttaa IP – osoitettaan usein, esimerkiksi. kotireititin, jolle Internet-palveluntarjoaja määrittää eri IP: n joka kerta, kun se virtaa.

Kommentit

  • Täydellinen vastaus tähän!

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *