Meg lehet-e akadályozni a következő üzenetet a következővel kapcsolatban:
Csak ennek a kapcsolati szintaxisnak a használatakor
ssh xxx.xxx.xxx.xxx példa a figyelmeztető üzenetre:
ssh 10.19.11.1 CentOS release 5.8 (Final) Kernel 2.6.18-308.el5 on an i686 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that the RSA host key has just been changed. The fingerprint for the RSA key sent by the remote host is dd:6f:32:8f:8f:8c:70:9c:95:f1:48:83:60:97:cc:ed. Please contact your system administrator. Add correct host key in /root/.ssh/known_hosts to get rid of this message. Offending key in /root/.ssh/known_hosts:7 RSA host key for 10.19.11.1 has changed and you have requested strict checkin. Host key verification failed. minden alkalommal, amikor megkapom ezeket az üzeneteket, akkor kitisztítom a /root/.ssh/known_hosts
mint
cp /dev/null /root/.ssh/known_hosts Én is gondoltam beállítani a cp / dev / null /root/.ssh/known_hosts parancsot a crontab-ban,
így minden nap 24: 00-kor megtisztítja az ismert_hosts fájlt (ez a megoldás csökkenti ezt a problémát, de nem oldja meg) )
szóval ez a megoldás nem olyan jó megoldás, mert a felhasználó megkapja a figyelmeztető üzenetet annak ellenére, hogy minden nap kitisztítjuk az ismert_gazdák fájlt
talán tehetünk valamit az / etc / ssh oldalon / ssh_config fájlt az SSH gazdagépkulcs ellenőrzésének megakadályozása érdekében?
megjegyzés:
Nem a következő módszert akarom használni pr esemény az SSH gazdagépkulcs ellenőrzése (mert a reflection / putty-t használom)
ssh -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no [email protected] Ragaszkodom ahhoz, hogy csak ezt a szintaxist használjam
ssh xxx.xxx.xxx.xxx a csatlakozáshoz
Megjegyzések
- Egyszerűen fogalmazva: don ' t csináld. Valóban olvasta egyáltalán a figyelmeztetést? Ennek a figyelmeztetésnek oka van. És megvédi Önt a MitM támadás ártalmaitól és egyéb rosszaktól.
Válasz
Frissítés: Manapság használhat SSH tanúsítványokat , hasonlóan a TLS-hez tanúsítványokat. Ezután hozzáadhat egy known_hosts bejegyzést, hogy megbízhasson a tanúsítvány ban, és ne az egyes kulcsokban, és soha többé nem kapja meg ezt az üzenetet.
Vegye figyelembe @ 0xC0000022L “figyelmeztetést !
Ha tudja a gazdagépkulcs megváltozott , eltávolíthatja az adott bejegyzést a known_hosts fájlból:
ssh-keygen -R xxx.xxx.xxx.xxx Ez sokkal jobb, mint a teljes felülírása gazdagépfájl (amely csak > /root/.ssh/known_hosts fájlokkal végezhető el).
Ha nem szeretné használni a ssh parancssori opciók, úgy gondolom, hogy ennek egyetlen módja az SSH kód módosítása és újrafordítása lenne. Amit valóban nem akarom!
Megjegyzések
- de ezt automatikus módon szeretném megtenni, amikor a felhasználó panaszkodik emiatt, akkor nem nem akarod manuálisan csinálni
- Nem akarod ' manuálisan megtenni (removin g
known_hostsbejegyzések), és nem akarja ' automatikusan megtenni (asshopciók). Hogyan akarod akkor csinálni? - @ l0b0 Azáltal, hogy parancssori opciót ad a szolgáltatás elnyomására. Bizonyos környezetekben, például a virtuális gép környezeteiben és más nagyon dinamikus konfigurációkban (különösen a tesztkörnyezetekben) ezek a gazdagépkulcsok gyakran változnak, és mivel elszigetelt hálózaton vannak, csekély biztonságot lehet elérni az ellenőrzés elvégzésével. Idegesítő, ha minden alkalommal el kell végeznie egy
ssh-keygen -R-t. Feltételezem, hogy lehet írni egy ssh-t az ssh-hez, egy shell parancsfájlt, amely értelmezi a célcímet és előre eltávolítja a kulcsot, mielőtt átadná az opciókat az ssh-nek, de ez túlzásnak tűnik. > Válasz1. lépés: távolítsa el a hibás kulcsot
ssh-keygen -R 192.168.1.12. lépés: új kulcs hozzáadása
ssh-keyscan 192.168.1.1 >> ~/.ssh/known_hostsvagy a helyzetétől függően
> ~/.ssh/known_hosts ssh-keyscan 192.168.1.1 192.168.1.2 ... >> ~/.ssh/known_hostsMegjegyzések
- -1 azért, mert figyelmeztetés nélkül biztosított egy puskát.
- @ l0b0 Elég tisztességes!
Válasz
Amikor kidobható virtuális gépekhez csatlakozik, jobb, ha nem tárolja a kulcsokat.
Hozzon létre egy
ssh0álnév vagy függvény a következő tartalommal:alias ssh0="ssh -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no -o LogLevel=ERROR"Ily módon nem fogod szennyezni a
~/.known_hostsfájlt szeméttel, és mivel más parancsot használ, pszichológiai lenne határ az “igazi” ssh és a helyi widget műszerezésére használt egyik között.Egy másik hasznos álnév
alias sshy="ssh -o CheckHostIP=no", amikor “olyan eszközhöz csatlakozik, amely gyakran megváltoztatja az IP – jét, például. egy otthoni útválasztó, amelyhez az internetszolgáltató minden egyes energiaellátáskor más IP-t rendel.
Megjegyzések
- Tökéletes válasz erre!