जब कई होस्ट एक ही आईपी और डीएनएस नाम साझा करते हैं, तो ज्ञात_होस्ट को कैसे संपादित करें?

मैं नियमित रूप से एक कंप्यूटर में ssh करता हूं जो कि एक डुअल-बूट OS X / Linux कंप्यूटर है। दो OS उदाहरण एक ही होस्ट कुंजी साझा नहीं करते हैं, इसलिए उन्हें दो होस्ट एक ही IP और DNS साझा करते हुए देखा जा सकता है। मान लें कि आईपी है 192.168.0.9, और नाम हैं hostnameऔरhostname.domainname

जहां तक ​​मुझे समझ में आया, दोनों होस्ट से जुड़ने में सक्षम होने का उपाय उन दोनों को ~/.ssh/know_hostsफाइल में जोड़ना है । हालांकि, यह तुलना में आसान किया है, क्योंकि फ़ाइल मिश्रित होता है, और मेजबान प्रति शायद कई प्रविष्टियां हैं कहा जाता है ( 192.168.0.9, hostname, hostname.domainname)। परिणामस्वरूप, मेरे पास निम्नलिखित चेतावनी है

Warning: the ECDSA host key for 'hostname' differs from the key for the IP address '192.168.0.9'

क्या known_hostsफ़ाइल को संपादित करने का एक आसान तरीका है , जबकि हैश रखते हुए। उदाहरण के लिए, मैं किसी दिए गए होस्टनाम के अनुरूप लाइनें कैसे पा सकता हूं? मैं कुछ ज्ञात मेजबानों के लिए हैश कैसे उत्पन्न कर सकता हूं?

आदर्श समाधान मुझे ssh के साथ इस कंप्यूटर से मूल रूप से कनेक्ट करने की अनुमति देगा, भले ही मैं इसे कॉल करूं 192.168.0.9, hostnameया hostname.domainnameन ही अगर यह लिनक्स लिनक्स या इसके ओएसएक्स होस्टके का उपयोग करता है। हालांकि, मैं अभी भी एक चेतावनी प्राप्त करना चाहता हूं कि क्या कोई वास्तविक मानव-मध्य हमला है, अर्थात यदि इन दोनों की तुलना में एक और कुंजी का उपयोग किया जाता है।

यहां सबसे सीधा समाधान लिनक्स और ओएस एक्स के लिए समान होस्ट कुंजी का उपयोग करना है। अर्थात, /etc/ssh/ssh_host_*_key*फ़ाइलों का एक सेट चुनें और उन्हें दूसरे ओएस पर कॉपी करें। फिर एक ही होस्ट कुंजी को SSH क्लाइंट के सामने प्रस्तुत किया जाएगा, भले ही आपके द्वारा बूट किए गए OS की परवाह किए बिना, और SSH क्लाइंट कोई भी समझदार नहीं होगा।

जैसा कि @Izzy ने उपरोक्त टिप्पणी में सुझाव दिया था, ssh आपको आपत्तिजनक लाइन बताता है, और उस लाइन को हटाकर, (इसे कहीं और सहेज कर), नई कुंजी को स्वीकार करता है, और फिर हटाए गए लाइन को कॉपी करते हुए, आप उसी के लिए दो कुंजियों को हवा देते हैं। मेजबान, और ssh या तो स्वीकार करेंगे।

(आप ssh-keygen -H -F <hostname>अपनी ज्ञात_होस्ट फ़ाइल में उन पंक्तियों को खोजने के लिए भी उपयोग कर सकते हैं जो होस्टनाम से मेल खाती हैं। हटाए गए लाइन को कॉपी करने के बाद इसे चलाना दो प्रविष्टियों को सूचीबद्ध करना चाहिए।)

अगर किसी को पता है कि उसी काम को करने के लिए PuTTY कैसे प्राप्त किया जाए, तो मुझे इसके बारे में सुनने में बहुत दिलचस्पी होगी।

मैंने पाया कि आप जो हासिल करना चाहते हैं, उससे आपको मदद मिल सकती है।

स्रोत: /programming/733753/how-to-handle-ssh-host-key-verification-with-2-different-hosts-on-the-same-but

अपनी .ssh निर्देशिका में एक विन्यास फाइल इस प्रकार बनाएँ:

Host server1
  Hostname x1.example.com
  HostKeyAlias server1
  CheckHostIP no
  Port 22001
  User karl

Host server2
  Hostname x2.example.com
  HostKeyAlias server2
  CheckHostIP no
  Port 22002
  User karl

नीचे स्पष्टीकरण (आदमी ssh_config से)

CheckHostIP

यदि यह ध्वज "हां" पर सेट है, ssh (1) इसके अलावा ज्ञात_होस्ट्स फ़ाइल में होस्ट आईपी पते की जांच करेगा। यह पता लगाने के लिए ssh की अनुमति देता है कि क्या DNS स्पूफिंग के कारण होस्ट कुंजी बदल गई है। यदि विकल्प "नहीं" पर सेट है, तो चेक निष्पादित नहीं किया जाएगा। डिफ़ॉल्ट "हाँ" है।

HostKeyAlias

होस्ट कुंजी डेटाबेस फ़ाइलों में होस्ट कुंजी को देखने या सहेजते समय वास्तविक होस्ट नाम के बजाय किसी अन्य नाम का उपयोग किया जाना चाहिए। यह विकल्प SSH कनेक्शन को टनल करने या एक ही होस्ट पर चलने वाले कई सर्वरों के लिए उपयोगी है।

उपयोगकर्ता नाम और पोर्ट लाइन आपको कमांड लाइन पर उन विकल्पों को देने से बचाती है, इसलिए, आप बस इसका उपयोग कर सकते हैं:

% ssh server1
% ssh server2

अपनी समस्या को हल करने का सबसे आसान तरीका प्रत्येक मेजबान को अपना / अलग आईपी पता देना है। आपके (निजी) नेट और आईपीवी 4 में उपलब्ध 253 पतों के साथ, यह कोई बड़ी बात नहीं होनी चाहिए। उन्हें निर्धारित आईपी (एक डीएचसीपी सर्वर नेटवर्क कार्ड मैक पते के आधार पर मशीन की पहचान करेगा, और दोनों को एक ही पता मिलेगा) दें। यदि आप सुरक्षा उपाय (जो मैं उस छोटे "आराम", या तो के लिए नहीं छोड़ता) को रखना चाहते हैं, तो मुझे कोई अन्य समाधान नहीं दिखता है।

मैं एक ही आईपी को साझा करने वाले विभिन्न वीपीएस बॉक्स से कनेक्ट करते समय उस समस्या में नहीं आता हूं क्योंकि प्रत्येक में एक अलग एसएसएच पोर्ट (20022,30022, आदि) है, इसलिए वे विभिन्न कुंजी के साथ ज्ञात होस्ट के रूप में पंजीकृत हैं।

क्या यह आपके लिए वर्कअराउंड हो सकता है?

एक अन्य लेख , जो आपकी समस्या से निपटने के कई तरीकों का वर्णन करता है:

दूसरी विधि दो ओपनएसएसएच मापदंडों का उपयोग करती है: StrictHostKeyCheckinऔर UserKnownHostsFile। यह विधि SSH को खाली ज्ञात_होस्ट फ़ाइल का उपयोग करने के लिए कॉन्फ़िगर करके, और दूरस्थ होस्ट पहचान कुंजी की पुष्टि करने के लिए आपसे पूछने के लिए नहीं कहती है।

चूंकि आप सख्त होस्ट कुंजी की जाँच करना चाहते हैं, इसलिए मैं उन्हें विभिन्न known_hostsफ़ाइलों का उपयोग करना चाहूंगा । ऐसा करने के लिए, अपनी ~/.ssh/configफ़ाइल (या /etc/ssh/ssh_configयदि आपको कई स्थानीय उपयोगकर्ता खातों पर काम करने के लिए इसकी आवश्यकता है) फ़ाइल को इस तरह सेट करें:

Host myserver.osx
  UserKnownHostsFile ~/.ssh/known_hosts.dual.osx
  # default is ~/.ssh/known_hosts
  Hostname $REALHOSTNAME

Host myserver.linux
  UserKnownHostsFile ~/.ssh/known_hosts.dual.linux
  Hostname $REALHOSTNAME

, $REALHOSTNAMEवास्तविक होस्टनाम या आईपी पते के साथ, निश्चित रूप से। (इससे कोई फर्क नहीं पड़ता कि आप किसे चुनते हैं, जब तक आप "होस्टनाम" के बाद कुछ चुनते हैं, जो आईपी पते पर हल होगा, लेकिन मैं सामान्य रूप से, केवल सामान्य सिद्धांतों पर आईपी पते के लिए होस्ट नाम का उपयोग करूंगा।)

तब ssh myserver.linuxऔर ssh myserver.osxइस प्रकार अलग-अलग होस्ट कुंजी हो सकती हैं, लेकिन आप अभी भी चेकिंग प्राप्त करते हैं। यदि यह लिनक्स ऊपर है और आप ओएस एक्स (या इसके विपरीत) टाइप करते हैं, तो आपको चेतावनी मिलेगी (जो मुझे लगता है कि वांछित प्रभाव है)।

यदि मुझे यह समस्या थी, तो मुझे यकीन है कि मुख्य known_hostsफ़ाइल में कुछ पूरी तरह से गलत था जो या तो एक से मेल नहीं खाता है, ताकि यदि आप $REALHOSTNAMEइसके बजाय टाइप करते हैं तो आपको myserver.osxचेतावनी मिलती है। :-) मैं ऐसा कुछ डाल कर करूँगा

<ip-address-of-github.com> $REALHOSTNAME

मेरे में /etc/hosts, फिर एक कर रहा है ssh $REALHOSTNAMEऔर नई कुंजी को स्वीकार करना, फिर उस प्रविष्टि को बाहर निकालना।