एक बार-बार बदले गए IP के साथ SSH बॉक्स में

मेरे पास कुछ क्लाउड बॉक्स हैं जो अपने आईपी को बार-बार बदलते हैं।

मैं होस्टनाम का उपयोग कर रहा हूं, लेकिन इस त्रुटि संदेश के कारण सर्वर द्वारा लॉन्च किए गए ज्ञात_होस्ट फ़ाइल को हर बार संपादित करना होगा:

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is…

किसी भी सुरक्षा जोखिम के अलावा और ऐसे जो मैं जो करना चाहता हूं उससे जुड़ा हुआ है, क्या इस त्रुटि को अनदेखा करने या ज्ञात_होस्ट फ़ाइल को स्वचालित रूप से इस तरह से अधिलेखित करने का एक तरीका है कि मुझे हमेशा इसे स्वयं संपादित करने की आवश्यकता नहीं है?

अपनी ssh_config फ़ाइल संपादित करें और इस पंक्ति को बदलें:

CheckHostIP no

चेकहोस्टिप 'हां' के लिए डिफॉल्ट करता है। यह क्या करता है कि आप जिस तरह की जाँच कर रहे हैं वह विफल हो रही है। इसे बंद करने का मतलब है कि यह सिर्फ भरोसा करता है कि आईपी परिवर्तनशील है, और होस्टनाम के खिलाफ कुंजी-जांच करेगा।

जोड़: आप केवल उस नाम के लिए CheckHostIP चेक को अक्षम करने का प्रयास कर सकते हैं :

Host *
  [ global settings .. ]

Host very.dynamic.host
  CheckHostIP no

यहां बहुत सारे उत्तर काम करेंगे - लेकिन तकनीकी रूप से वे वर्कअराउंड हैं। ओपनएसएसएच में पहले से ही एक अंतर्निहित सुविधा है, जो इसे ध्यान में रखते हुए HostKeyAlias:।

आपकी .ssh / config फ़ाइल में, HostKeyAlias <alias>होस्ट कॉन्फ़िगरेशन में जोड़ें :

host myserver.example.com
HostKeyAlias myserver.example.com

इसके साथ, सर्वर myserver.example.comसे जुड़ने से स्थानीय संदर्भ के लिए होस्टनाम या आईपी ​​पते का उपयोग नहीं किया जाएगा - यह हमेशा उस सर्वर से कनेक्ट करते समय केवल दिए गए HostKeyAlias ​​का उपयोग करेगा । मेरे लिए यह मेजबाननाम का उपयोग करने के लिए समझ में आता है - लेकिन आप निश्चित रूप से किसी भी अन्य उपनाम का उपयोग कर सकते हैं जिसे आप पसंद करते हैं।

गतिशील मेजबान के लिए खुद के लिए विशिष्ट विन्यास इस तरह हैं:

host myserver
hostname myserver.dyn.example.com
HostKeyAlias myserver.private.example.com

यह कुछ अस्पष्ट परिदृश्यों में भी उपयोग किया जा सकता है, जहां आप जानते हैं कि आपके सर्वर का एक गुच्छा एक ही मेजबान कुंजी है (आमतौर पर यह मामला नहीं होना चाहिए )। इसके बाद डुप्लिकेट प्रविष्टियों को रोका जा सकेगा। भविष्य में, यदि कुंजी वैध रूप से बदल जाती है, तो आपको कई प्रविष्टियों को बदलने / हटाने की आवश्यकता नहीं है। केवल एक। Gitlab जियो सर्वर इसका एक अच्छा उदाहरण है।

ज्ञात_होस्ट फ़ाइल को साफ़ करने के बारे में, मैं सुझाव देना चाहूंगा कि अन्य प्रश्न / उत्तर विशेष रूप से बासी ज्ञात_होस्ट प्रविष्टियों को बनाए रखने / हटाने से संबंधित हों। उदाहरण के लिए, देखें कि मेरी .ssh / ज्ञात_होस्ट फ़ाइल को कैसे प्रबंधित किया जाए ; मैं विशेष रूप से user1953828 के उत्तर से प्रभावित हूँ, हालाँकि मैं देखता हूँ कि इसमें बहुत से अपवोट (अभी तक) नहीं हैं। :)

मैं इस समस्या के आसपास काम करने के लिए इन डॉगी विकल्पों का उपयोग करता हूं। (मेरे मेजबान की सार्वजनिक कुंजी को बहुत बार पुनर्जीवित किया गया है। इसलिए यह आईपी और कुंजी की जांच को हटा देता है)

ssh remoteServerName -l username -o "UserKnownHostsFile=/dev/null"

यदि कुंजी समान रहती है, लेकिन IP में परिवर्तन होता है, तो आप इसका उपयोग कर सकते हैं:

ssh remoteServerName -l username -o "CheckHostIP=no"

आप चेतावनी को अनदेखा करने के लिए StrictHostKeyChecking = अपने ssh क्लाइंट कॉन्फ़िगरेशन (यानी जिस मशीन से कनेक्ट करते हैं, उस पर ~ / ssh / config फ़ाइल) में नहीं।

आप CheckHostIP noअपनी ~/.ssh/configफ़ाइल में डाल सकते हैं, लेकिन यह आपको स्पूफिंग हमलों के लिए खुला छोड़ देता है। यदि आप इसके बारे में चिंतित नहीं हैं, तो इस सेटिंग को known_hostsचेक को बंद कर देना चाहिए ।

known_hostsक्षणिक AWS मशीनों से कनेक्ट होने पर मैं अपनी फ़ाइल में फ़िंगरप्रिंट जोड़ने से बचता हूं । मैं एक कमांड का उपयोग करता हूं जैसे कि

ssh -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no -i secret.pem ec2-user@10.0.0.5

उनसे जुड़ने के लिए। यह आपसे यह नहीं पूछेगा कि क्या आप मशीन को "ज्ञात मेजबानों की सूची में जोड़ना चाहते हैं।" 10.0.0.5अपनी मशीन के आईपी पते से और secret.pemअपनी Ssh कुंजी के पूर्ण पथ से बदलें । आपको अभी भी एक चेतावनी मिलेगी कि 10.0.0.5जोड़ा गया है, लेकिन यह वास्तव में गायब हो गया है /dev/null। मैं अक्सर ऐसा करता हूं कि मैं अपने आप में एक उपनाम सेट करता हूं~/.profile

alias awsssh='ssh -i secret.pem -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no'

मैं ssh ec2-user@example.comमशीनों के लिए प्रकार के आदेशों को आरक्षित कर रहा हूं मैं फिंगरप्रिंट की जांच करने की परेशानी में गया था।

ज्ञात_होस्ट को केवल पढ़ने के लिए करें।