我正在获取标准内容
WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
错误信息。但是执行命令的系统(Appworx)是自动化的,我无法轻易接受新密钥,即使在与第三方供应商确认更改有效性后也是如此。我可以添加一个新的 shell 脚本,可以从同一系统(和用户)执行,但似乎没有命令或命令行参数可以告诉 ssh 接受该密钥。我在手册页或 Google 上找不到任何信息。这肯定是可能的吧?
这里的答案都是糟糕的建议。在任何真实世界的系统中,您都不应该关闭StrictHostKeyChecking(例如,如果您只是在自己的本地家庭网络上玩耍,那么可能还可以 - 但对于其他任何事情都不要这样做)。
相反,请使用:
ssh-keygen -R hostname
或者如果没有使用默认端口22:
ssh-keygen -R '[hostname]:port'
这将强制更新known_hosts文件,以删除已更新其密钥的仅一个服务器的旧密钥。
然后当您使用:
ssh user@hostname
它会要求您确认指纹-就像对于任何其他“新”的(即以前未见过的)服务器一样。
虽然通常的智慧是不要禁用主机密钥检查,但SSH本身有一个内置选项可以做到这一点。由于它是新的(在Openssh 6.5中添加),所以它相对未知。
使用-o StrictHostKeyChecking=accept-new来实现。
警告:仅在您绝对信任要SSH连接的IP或主机名时使用此选项:
ssh -o StrictHostKeyChecking=accept-new mynewserver.example.com
StrictHostKeyChecking=no将公钥添加到~/.ssh/known_hosts,即使密钥已更改也会添加公钥。 accept-new仅适用于新主机。从man page中了解更多信息:如果将此标志设置为“accept-new”,则ssh将自动将新主机密钥添加到用户已知主机文件中,但不允许连接到具有更改的主机密钥。 如果将此标志设置为“no”或“off”,则ssh将自动将新主机密钥添加到用户已知主机文件中,并允许连接到具有更改的主机密钥的主机进行连接,但受某些限制。 如果将此标志设置为“ask”(默认值),则仅在用户确认他们确实要执行此操作后,才将新主机密钥添加到用户已知主机文件中,并且ssh将拒绝连接其主机密钥已更改的主机。在所有情况下都会自动验证已知主机的主机密钥。
-o StrictHostKeyChecking=no为何是恶意的?当您不检查主机密钥时,可能会在不同计算机上降落SSH会话(是的,在IP劫持的情况下是可能的)。您不拥有的恶意服务器也可以用来窃取密码和各种数据。接受新的未知密钥也非常危险。只有在对网络或服务器的绝对信任或服务器未被攻击时才应这样做。个人而言,我仅在使用cloud-init在云环境中启动机器后立即使用此标志。accept-new 仅适用于新主机,而不适用于主机密钥已更改的情况 - 这就是这个问题所涉及的内容。 - Matthias Weiler这里是告诉客户如何信任密钥。更好的方法是提前将其给客户端,在第二段中已经描述过。这适用于Unix上的OpenSSH客户端,因此我希望它与您的情况相关。
您可以设置StrictHostKeyChecking参数。它有yes、no和ask选项。默认为ask。要在系统范围内设置,请编辑/etc/ssh/ssh_config;要仅适用于您,请编辑~/.ssh/config;要为单个命令设置,请在命令行上给出选项,例如:
ssh -o "StrictHostKeyChecking no" hostname
known_hosts 文件中,这样 SSH 就知道它们并且不会询问该问题。从安全角度来看,如果可能的话这更好。毕竟,警告可能是正确的,您确实可能会遭受中间人攻击。ssh -o 'StrictHostKeyChecking no' hostname cat /etc/ssh/ssh_host_dsa_key.pub >>~/.ssh/known_hosts
StrictHostKeyChecking=accept-new 替代。 - cregox由于您正在尝试通过在进行ssh连接的主机上运行bash脚本来自动化此过程,并且假设:
known_hosts中,然后让known_hosts保持不变。请在您的bash脚本中尝试以下内容:
# Remove old key
ssh-keygen -R $target_host
# Add the new key
ssh-keyscan $target_host >> ~/.ssh/known_hosts
您只需要更新从服务器发送的当前指纹即可。只需输入以下内容,您就可以开始使用:
ssh-keygen -f "/home/your_user_name/.ssh/known_hosts" -R "server_ip"
HOST=hostname; ssh-keygen -R $HOST && ssh-keyscan -Ht ed25519 $HOST >> "$HOME/.ssh/known_hosts"
-R删除任何条目,然后生成一个哈希(-H)的known_hosts条目,我们将其追加到文件末尾。获取SSH主机IP地址(或DNS名称)列表,输出到文件 > ssh_hosts
运行一行命令在控制节点上填充~/.ssh/known_hosts文件(通常用于准备目标节点以进行Ansible运行)
注意:假设我们更喜欢ed25519类型的主机密钥
# add the target hosts key fingerprints
while read -r line; do ssh-keyscan -t ed25519 $line >> ~/.ssh/known_hosts; done<ssh_hosts
# add the SSH Key('s) public bit to target hosts `authorized_keys` file
while read -r line; do ssh-copy-id -i /path/to/key -f user@$line; done<ssh_hosts
ssh -o UserKnownHostsFile=/dev/null user@host
ssh -o 'StrictHostKeyChecking no' ...这段代码翻译为中文会更好。如果不需要文件,为什么要打开空文件描述符呢? - Lockszmith添加以下文件
~/.ssh/config
并将其作为内容保存在文件中
StrictHostKeyChecking no
这个设置将确保ssh永远不会再次要求指纹检查。 这应该非常小心地添加,因为这将非常危险,并允许访问所有指纹。
Host块内添加。 - Chris AdamsStrictHostKeyChecking accept-new 或使用 Host 仅为预期服务器降低安全性。 - Chris Adamsssh-keygen -R解决方案可以达到效果,但会产生一些不必要的输出噪音。 - Scott Prive
StrictHostKeyChecking accept-new以接受新密钥,但在保存的密钥冲突时仍拒绝连接。 - Chris Adamsssh-keyscan $target_host >> ~/.ssh/known_hosts。问题太容易解决了,没有理由不这样做。 - Jeter-workStrictHostKeyChecking将禁用验证系统是否真的是您要连接的系统。通过操纵 DNS 等方式,将某人引导到仿冒服务器相对容易,这可能被用于窃取凭据等行为。这本质上与浏览器的 HTTPS / TLS 相同 - 它不仅保护连接,还验证了 wenserver 确实是 your_bank.com 等。 - AJ Poulter