Birkaç ana bilgisayar aynı IP ve DNS adını paylaştığında known_hosts nasıl düzenlenir?

Düzenli olarak çift önyüklemeli OS X / Linux bilgisayarı olan bir bilgisayara ssh. İki işletim sistemi örneği aynı ana bilgisayar anahtarını paylaşmaz, bu nedenle aynı IP ve DNS'yi paylaşan iki ana bilgisayar olarak görülebilirler. Diyelim ki IP 192.168.0.9ve isimler hostnamevehostname.domainname

Anladığım kadarıyla, iki ana bilgisayara bağlanabilmenin çözümü, her ikisini de ~/.ssh/know_hostsdosyaya eklemektir . Ancak, daha kolay dosya karma, çünkü yapılır ve ana bilgisayar başına muhtemelen birkaç giriş olduğundan daha söylenir ( 192.168.0.9, hostname, hostname.domainname). Sonuç olarak, aşağıdaki uyarıyı aldım.

Warning: the ECDSA host key for 'hostname' differs from the key for the IP address '192.168.0.9'

known_hostsKarmaları tutarken dosyayı düzenlemek için kolay bir yol var mı . Örneğin, verilen bir hostame karşılık gelen hatları nasıl bulabilirim? Bilinen bazı ana bilgisayarlara ilişkin karmaları nasıl oluşturabilirim?

İdeal çözüm bana olursa olsun diyoruz, ister ssh'ın ile bu bilgisayara sorunsuz bağlanmasına izin olurdu 192.168.0.9, hostnameya hostname.domainname, ne de onun Linux konak anahtarı veya OSX konak anahtarı kullanıyorsa. Ancak, ortadaki gerçek bir saldırı olursa , yani bu ikisinden başka bir anahtar kullanılıyorsa , hala bir uyarı almak istiyorum .

Buradaki en basit çözüm, Linux ve OS X için aynı ana bilgisayar anahtarlarını kullanmaktır. Yani, bir /etc/ssh/ssh_host_*_key*dosya grubunu seçin ve diğer işletim sistemine kopyalayın. Ardından, aynı ana bilgisayar anahtarı, hangi işletim sistemine girdiğinize bakılmaksızın bir SSH istemcisine sunulacak ve SSH istemcisi daha akıllıca olmayacaktır.

@Izzy'nin yukarıdaki yorumda önerdiği gibi, ssh size rahatsız edici hattı söyler ve bu satırı kaldırarak (başka bir yere kaydederek), yeni anahtarı kabul eder ve sonra kaldırılan çizgiyi tekrar kopyalayarak, aynı tuş için iki anahtarla kapatırsınız. ev sahibi ve ssh da kabul eder.

(Ayrıca ssh-keygen -H -F <hostname>, bilinen ana bilgisayar dosyanızdaki bu ana bilgisayar adıyla eşleşen satırları bulmak için de kullanabilirsiniz . Kaldırılan satırı geri kopyaladıktan sonra bu işlemi iki giriş listelenmelidir.)

PuTTY'nin aynı şeyi yapmasını nasıl bilen varsa, bunu duymayı çok isterim.

Bunu başarmak istediğiniz şey konusunda size yardımcı olabilecek buldum.

Kaynak: /programming/733753/how-to-handle-ssh-host-key-verification-with-2-different-hosts-on-the-same-but

.Ssh dizininizde aşağıdaki gibi bir config dosyası oluşturun:

Host server1
  Hostname x1.example.com
  HostKeyAlias server1
  CheckHostIP no
  Port 22001
  User karl

Host server2
  Hostname x2.example.com
  HostKeyAlias server2
  CheckHostIP no
  Port 22002
  User karl

Aşağıda Açıklama (man ssh_config kullanıcısından)

CheckHostIP

Bu bayrak "evet" olarak ayarlanmışsa, ssh (1) ayrıca bilinen ana bilgisayardaki IP adresini de kontrol eder. Bu, ssh'nin DNS sahteciliği nedeniyle bir ana bilgisayar anahtarının değişip değişmediğini tespit etmesini sağlar. Seçenek "hayır" olarak ayarlanmışsa, kontrol yapılmayacaktır. Varsayılan "evet" dir.

HostKeyAlias

Ana bilgisayar anahtarını ana bilgisayar anahtar veritabanı dosyalarına ararken veya kaydederken gerçek ana bilgisayar adı yerine kullanılması gereken bir diğer adı belirtir. Bu seçenek SSH bağlantılarının tünellenmesi veya tek bir ana bilgisayarda çalışan birden fazla sunucu için kullanışlıdır.

Kullanıcı adı ve Bağlantı Noktası satırı, bu seçenekleri komut satırında da vermenizi önler, böylece yalnızca şunları kullanabilirsiniz:

% ssh server1
% ssh server2

Sorununuzu çözmenin en kolay yolu, her ana bilgisayara kendi / ayrı bir IP adresi vermektir. (Özel) ağınızda ve IPv4'ünüzde mevcut 253 adres olması önemli değil. Onlara sabit IP'ler verin (bir DHCP sunucusu makineyi ağ kartları MAC adresine göre tanımlayacak ve her ikisi de aynı adresi alacaktır). Güvenlik önlemlerini (bu küçük "konfor" için de bırakmayacağım) tutmak istiyorsanız başka bir çözüm göremiyorum.

Aynı IP'yi paylaşan çeşitli VPS kutularına bağlanırken bu sorunla karşılaşmam, çünkü her birinin farklı bir SSH bağlantı noktası (20022,30022, vb.) Vardır, böylece farklı anahtarlarla bilinen ana bilgisayarlar olarak kaydedilirler.

Bu sizin için bir geçici çözüm olabilir mi?

Sorununuzu çözmenin birkaç yolunu açıklayan başka bir makale :

İkinci yöntem iki openSSH parametresi kullanır:, StrictHostKeyCheckinve UserKnownHostsFile. Bu yöntem, SSH'yi boş bir bilinen_hosts dosyasını kullanacak şekilde yapılandırarak ve uzak ana bilgisayar kimlik anahtarını onaylamanızı istemek için TIKLAYIR.

Sıkı ana bilgisayar anahtarını denetlemeye devam etmek istediğiniz için, farklı known_hostsdosyalar kullanmalarını isterdim . Bunu yapmak için, ~/.ssh/configdosyanızı (ya da /etc/ssh/ssh_configbirden fazla yerel kullanıcı hesabı üzerinde çalışmak için buna ihtiyacınız varsa) aşağıdaki gibi ayarlayın:

Host myserver.osx
  UserKnownHostsFile ~/.ssh/known_hosts.dual.osx
  # default is ~/.ssh/known_hosts
  Hostname $REALHOSTNAME

Host myserver.linux
  UserKnownHostsFile ~/.ssh/known_hosts.dual.linux
  Hostname $REALHOSTNAME

$REALHOSTNAMETabii ki, asıl ana bilgisayar adı veya IP adresi ile değiştirme . (IP adresi için çözülecek olan "Ana Bilgisayar Adı" ndan sonra bir şeyi seçtiğiniz sürece, hangisini seçtiğiniz önemli değildir, ancak ana bilgisayar adını bir IP adresi yerine, sadece genel ilkelere göre kullanırım.)

Sonra ssh myserver.linuxve ssh myserver.osxböylece farklı ana bilgisayar anahtarlarına sahip olabilirsiniz, ancak yine de kontrolü alıyorsunuz. Eğer bu Linux ise ve siz OS X (ya da tam tersi) yazıyorsanız, uyarının (istenen etki olduğuna inanıyorum) anlayacaksınız.

Bu sorunu yaşarsam, ana known_hostsdosyada her ikisiyle de eşleşmeyen tamamen yanlış bir şey olduğundan emin olurdum , böylece yazmak $REALHOSTNAMEyerine myserver.osxuyarı alırsınız. :-) Bunu gibi bir şey koyarak yapardım

<ip-address-of-github.com> $REALHOSTNAME

benim /etc/hosts, sonra bir yapmak ssh $REALHOSTNAMEve yeni anahtarı kabul etmek, daha sonra bu girişi çıkarmak.