SSH: dinamik adresli bilinen ana bilgisayar

12

Dinamik IP adresi olan bir ana bilgisayara bağlanmam gerekiyor.

IP'si her değiştiğinde SSH bana parmak izi doğrulama işlemini ister:

The authenticity of host '...' can't be established.
RSA key fingerprint is ....
Are you sure you want to continue connecting (yes/no)?

SSH'yi ana ortak anahtarı geçirmek mümkün olacak mı, böylece:

  1. SSH, ana bilgisayarın orijinalliğini otomatik olarak doğrular
  2. Ana bilgisayar anahtarı bilinen_hosts dosyasında saklanmaz

Bu soru SSH'nin bilinen ana bilgisayarlar için ana makine doğrulamasından nasıl kaçınabilirim? Ben yok iken bastırmak SSH doğrulama için diğer soruları amaçları beri, değil bunu bastırmak istiyorum: Ben do yerine SSH daha ev sahibi sadece konağın kamu anahtarını kullanarak, doğrulanmış olması (biliyorum ve bir dosyada saklanır) genel istiyorum known_hostsdosya.

Benim için diğer soru, dinamik bir IP ile tek bir tanınmış sunucuya bağlanmak yerine her seferinde farklı bir sunucuya bağlanmakla ilgili gibi görünüyor.

ssh  public-key  known-hosts 
peoro
kaynak

Yanıtlar:

8

En iyi çözüm (yani istediğim en yakın) bulabildiğim seçeneği kullanmaktır HostKeyAlias: erişmek için belirttiğim bir ana bilgisayar adı kullanacağım known_hosts(bağlandığım IP yerine).

known_hostsBelirli bir ana bilgisayar adını (örneğin:) kullanarak ana bilgisayarın ortak anahtarını eklemek myhostve daha sonra kullanarak bağlanmak gerekir:

ssh -o 'HostKeyAlias myhost' ...
peoro
kaynak
Bir süredir olduğunu biliyorum, ama: eğer sorunuza en iyi cevap veriyorsa, lütfen kabul edin.
kittykittybangbang
Diğerleri için not: HostKeyAliasYapılandırma değerini ~/.ssh/configdosyanıza hatta global /etc/ssh/ssh_configdosyaya ekleyebilirsiniz .
kael
6

known_hostsDosya aynı zamanda bağlanmak için kullandığınız hostname içeren, sadece anahtar değil ve karşılık gelir mümkünse IP. Bu yüzden hatayı görüyorsunuz, sunucudan aldığı üçlüyü bilinen_hosts dosyasında sakladığınız şeyle karşılaştırıyor.

IP değişmeye devam ederse, devre dışı bırakabilirsiniz CheckHostIPve bu da sadece ana makine adını ve ana makine anahtarını kontrol edeceği anlamına gelir. Bunlar değişmeden kalırsa, daha az şikayetiniz olmalıdır, ancak birisi DNS'inizi ele geçirirse risk altında olacaksınız.

NickW
kaynak
1
Cevabınız için teşekkürler, en kısa zamanda test edeceğim! Neden yine de pistte olur? Bir ev sahibinin SSH ortak anahtarını biliyorsanız, bu her durumda tamamen güvende olmak için yeterli olmalıdır (birisi o ev sahibinin özel anahtarını çalmayı başaramadıkça), değil mi?
peoro
Dürüst olmak gerekirse hala hoşuma gitmiyor. Bu bayrağı kullanarak SSH erişmeye devam edecektir known_hosts. Neden? "Genel anahtarı Y olan X'e ssh bağlan" diyemez miyim? Neden olmasın? Bu% 100 emin olmaz mıydı.
peoro
Fikir, ana bilgisayar anahtarının daha büyük bir bütünün parçası olması ve bağlandığınız sunucunun daha önce bağlandığınız sunucu olduğundan emin olmak için tek başına yeterli garanti olmamasıdır. IP ve DNS girişlerinin de eşleştiğinden emin olmanız gerekir .. unutmayın, bu ağ tabanlı bir kabuktur, bu yüzden ağın da kontrol edilmesi gerekir.
NickW
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.