Рейтинг:1

SSH на 1 сервер с 2 разных серверов с одинаковым именем хоста

флаг cn

Есть 2 сервера для производства и DR. Оба сервера имеют RHEL 7 и одинаковые спецификации.

Оба имеют одинаковое имя хоста и разные IP-адреса. Нам нужно подключиться к тем же внешним серверам через SSH без пароля.

Когда мы попытались подключиться с сервера DR, он показал предупреждение с сообщением, как показано ниже.

Разрешение отклонено (publickey, gssapi-keyex, gssapi-with-mic, keyboard-interactive).
с сервера: user1$ ssh user2@dest-server
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@
@ ПРЕДУПРЕЖДЕНИЕ: ОБНАРУЖЕН ВОЗМОЖНЫЙ ПОДДЕЛКА DNS! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@
Ключ хоста ECDSA для dest-server изменился,
и ключ для соответствующего IP-адреса 10.126.**.**
неизменен. Это может означать, что
DNS SPOOFING происходит или IP-адрес хоста
и его хост-ключ изменились одновременно.
Оскорбительный ключ для IP в /home/user1/.ssh/known_hosts:111
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@
@ ВНИМАНИЕ: ИДЕНТИФИКАЦИЯ УДАЛЕННОГО ХОСТА ИЗМЕНИЛАСЬ! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@
ВОЗМОЖНО, ЧТО КТО-ТО ДЕЛАЕТ ЧТО-ТО НЕЧЕТНОЕ!
Кто-то может подслушивать вас прямо сейчас (атака «человек посередине»)!
Также возможно, что ключ хоста был только что изменен.
Отпечаток ключа ECDSA, отправленный удаленным хостом,
SHA256: *******************************************************.
Пожалуйста, обратитесь к системному администратору.
Добавьте правильный ключ хоста в /home/user1/.ssh/known_hosts, чтобы избавиться от этого сообщения.
Оскорбительный ключ ED25519 в /home/user1/.ssh/known_hosts:111
Аутентификация по паролю отключена, чтобы избежать атак типа «человек посередине».
Интерактивная аутентификация с помощью клавиатуры отключена, чтобы избежать атак типа «человек посередине».
******************************************************* *******************

Мой вопрос в том, как я могу избежать этого сообщения и включить вход по ssh без пароля. Можно ли избежать этого сообщения?

Michael Hampton avatar
флаг cz
Они не должны иметь одинаковое имя хоста.
djdomi avatar
флаг za
я согласен, одно и то же имя хоста вызовет проблемы, у меня была аналогичная проблема, на самом деле у меня всегда есть изображение по умолчанию, которое я использую, а затем у моего ssh также есть мозг, потому что он думает, что у меня есть сервер h4x0red :)
Рейтинг:2
флаг cn

Иметь разные имена хостов в DNS для административных функций, включая ssh. Составляя свой собственный пример, thingprod1.example.net и thingprod2.example.net, с thingprod.example.net как служебный адрес, указывающий на активную сторону. Системные администраторы используют имя хоста, пользовательские приложения используют адрес службы.

Предупреждения о спуфинге DNS и изменении ключа хоста в ssh — это функции безопасности для обнаружения перехвата трафика ssh. Они полагаются на то, что ключ хоста остается неизменным для имени и IP-адреса.

Рейтинг:0
флаг lr

В то время как другие предлагают вам НЕ использовать одно и то же имя хоста (и я с ними согласен), они не предлагают решения.

Фактическим решением является отключение StrictHostKeyChecking.

Для этого вы можете напрямую подключиться к серверу по ssh:

ssh -o StrictHostKeyChecking=no <имя пользователя>@<имя хоста>

Если вы используете конфигурационный файл ssh, он будет выглядеть так:

Хост <имя>
Пользователь <имя пользователя>
Имя хоста <имя хоста>
 StrictHostKeyChecking нет
 UserKnownHostsFile=/dev/null

UserKnownHostsFile=/dev/null гарантирует, что ваш ключ не будет сохранен.

John Mahowald avatar
флаг cn
Использование другого имени хоста означает, что ключи хоста ssh находятся под разными именами в known_hosts и не вызывают это предупреждение. Что является более безопасным решением.
флаг lr
Хотя я согласен с вами в отношении безопасности проблемы, я не согласен с вашим ответом как с решением. Вопрос заключался в том, как можно войти в сеанс ssh, не получая сообщения «ВОЗМОЖНАЯ ПОДДЕЛКА DNS ОБНАРУЖЕНА!» сообщение. Я ответил на его вопрос, подчеркнув, что это не самый безопасный способ справиться с вещами.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.