Voiko estää seuraavan viestin aiheesta: (KAUKOPOSTIEN TUNNISTUS ON MUUTTUU)
Kun käytetään vain tätä yhteyden syntaksia
ssh xxx.xxx.xxx.xxx Esimerkki varoitusviestistä:
ssh 10.19.11.1 CentOS release 5.8 (Final) Kernel 2.6.18-308.el5 on an i686 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that the RSA host key has just been changed. The fingerprint for the RSA key sent by the remote host is dd:6f:32:8f:8f:8c:70:9c:95:f1:48:83:60:97:cc:ed. Please contact your system administrator. Add correct host key in /root/.ssh/known_hosts to get rid of this message. Offending key in /root/.ssh/known_hosts:7 RSA host key for 10.19.11.1 has changed and you have requested strict checkin. Host key verification failed. joka kerta kun saan tämän viestin, siivoan /root/.ssh/known_hosts
kuten
cp /dev/null /root/.ssh/known_hosts Minäkin olin ajatella asettaa komento cp / dev / null /root/.ssh/known_hosts crontabiin,
joten se puhdistaa joka päivä klo 24:00 known_hosts -tiedoston (tämä ratkaisu vähentää tätä ongelmaa, mutta ei ratkaissut sitä )
joten tämä ratkaisu ei ole niin hyvä ratkaisu, koska käyttäjä voi saada varoitusviestin huolimatta siitä, että siivoamme tiedossa olevat isännät-tiedoston joka päivä
ehkä voimme tehdä jotain tiedostossa / etc / ssh / ssh_config-tiedosto estääksesi SSH-isäntäavaimen tarkistuksen?
huomautus:
En halua käyttää seuraavaa tapaa pr tapahtuma SSH-isäntäavaimen tarkistus (koska käytän heijastusta / kittiä)
ssh -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no [email protected] Vaadin vain tätä syntaksia nimellä
ssh xxx.xxx.xxx.xxx yhteyden muodostamiseksi
kommentit
- Yksinkertaisesti sanottuna: don ' t tee se. Luitko todella varoituksen ollenkaan? Tähän varoitukseen on syy. Ja sen tarkoituksena on suojata sinua MitM-hyökkäyksen haitoilta ja muilta pahilta.
Vastaa
Päivitys: Nykyään voit käyttää SSH-varmenteita , samanlaisia kuin TLS todistukset. Sitten voit lisätä known_hosts -merkinnän luottaa varmenteeseen eikä yksittäisiin avaimiin, etkä koskaan saa tätä viestiä uudelleen.
Huomioi @ 0xC0000022L ”varoitus !
Jos tiedät isäntäavainta on vaihdettu , voit poistaa kyseisen tietueen known_hosts -tiedostosta:
ssh-keygen -R xxx.xxx.xxx.xxx Tämä on paljon parempi kuin korvata koko hosts-tiedosto (joka voidaan tehdä vain > /root/.ssh/known_hosts).
Jos et halua käyttää ssh mielestäni ainoa tapa tehdä tämä olisi muuttaa SSH-koodia ja kääntää uudelleen. Mikä todella älä halua tehdä!
Kommentit
- mutta haluan tehdä tämän automaattisella tavalla, kun käyttäjä valittaa tästä, en et halua tehdä sitä manuaalisesti
- et ' et halua tehdä sitä manuaalisesti (removin g
known_hosts-merkinnät), etkä halua tehdä sitä automaattisesti (käyttämällässhvaihtoehdot). Kuinka haluat tehdä sen sitten? - @ l0b0 Antamalla komentorivivaihtoehdon toiminnon estämiseksi. Joissakin ympäristöissä, kuten virtuaalikoneympäristöissä ja muissa erittäin dynaamisissa kokoonpanoissa (erityisesti testiympäristöissä), nämä isäntäavaimet muuttuvat usein, ja koska ne ovat eristetyssä verkossa, tarkistuksen tekeminen on vain vähän turvallisuutta.
ssh-keygen -Rtäytyy tehdä joka kerta ärsyttävää. Oletan, että voisi kirjoittaa komentotulkin ssh: lle, shell-komentosarjan, joka jäsentää kohdeosoitteen ja poistaa avaimen ennalta ennen vaihtoehtojen siirtämistä ssh: lle, mutta tämä tuntuu ylitaudilta.
Vastaa
vaihe 1: poista viallinen avain
ssh-keygen -R 192.168.1.1 vaihe 2: lisää uusi avain
ssh-keyscan 192.168.1.1 >> ~/.ssh/known_hosts tai tilanteestasi riippuen
> ~/.ssh/known_hosts ssh-keyscan 192.168.1.1 192.168.1.2 ... >> ~/.ssh/known_hosts kommentit
- -1 jalka-aseen toimittamisesta ilman varoitusta.
- @ l0b0 Oikea kunnia!
Vastaa
Kun muodostat yhteyden heitettäviin virtuaalikoneisiin tai vastaaviin, sinun ei kannata paremmin säilyttää avaimia.
Luo ssh0 alias tai funktio, jolla on seuraava sisältö:
alias ssh0="ssh -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no -o LogLevel=ERROR" Tällä tavoin et saastuta ~/.known_hosts tiedosto roskakorilla, ja koska käytät eri komentoa, siellä olisi psykologinen komento rajan ”oikean” ssh: n ja sen välillä, jota käytetään jonkin paikallisen widgetin instrumentointiin.
Toinen hyödyllinen alias on
alias sshy="ssh -o CheckHostIP=no" , kun ”muodostetaan yhteys laitteeseen, joka muuttaa IP – osoitettaan usein, esimerkiksi. kotireititin, jolle Internet-palveluntarjoaja määrittää eri IP: n joka kerta, kun se virtaa.
Kommentit
- Täydellinen vastaus tähän!