SSH на 1 сервер с 2 разных серверов с одинаковым именем хоста

Есть 2 сервера для производства и DR. Оба сервера имеют RHEL 7 и одинаковые спецификации.

Оба имеют одинаковое имя хоста и разные IP-адреса. Нам нужно подключиться к тем же внешним серверам через SSH без пароля.

Когда мы попытались подключиться с сервера DR, он показал предупреждение с сообщением, как показано ниже.

Разрешение отклонено (publickey, gssapi-keyex, gssapi-with-mic, keyboard-interactive).
с сервера: user1$ ssh user2@dest-server
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@
@ ПРЕДУПРЕЖДЕНИЕ: ОБНАРУЖЕН ВОЗМОЖНЫЙ ПОДДЕЛКА DNS! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@
Ключ хоста ECDSA для dest-server изменился,
и ключ для соответствующего IP-адреса 10.126.**.**
неизменен. Это может означать, что
DNS SPOOFING происходит или IP-адрес хоста
и его хост-ключ изменились одновременно.
Оскорбительный ключ для IP в /home/user1/.ssh/known_hosts:111
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@
@ ВНИМАНИЕ: ИДЕНТИФИКАЦИЯ УДАЛЕННОГО ХОСТА ИЗМЕНИЛАСЬ! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@
ВОЗМОЖНО, ЧТО КТО-ТО ДЕЛАЕТ ЧТО-ТО НЕЧЕТНОЕ!
Кто-то может подслушивать вас прямо сейчас (атака «человек посередине»)!
Также возможно, что ключ хоста был только что изменен.
Отпечаток ключа ECDSA, отправленный удаленным хостом,
SHA256: *******************************************************.
Пожалуйста, обратитесь к системному администратору.
Добавьте правильный ключ хоста в /home/user1/.ssh/known_hosts, чтобы избавиться от этого сообщения.
Оскорбительный ключ ED25519 в /home/user1/.ssh/known_hosts:111
Аутентификация по паролю отключена, чтобы избежать атак типа «человек посередине».
Интерактивная аутентификация с помощью клавиатуры отключена, чтобы избежать атак типа «человек посередине».
******************************************************* *******************

Мой вопрос в том, как я могу избежать этого сообщения и включить вход по ssh без пароля. Можно ли избежать этого сообщения?

Иметь разные имена хостов в DNS для административных функций, включая ssh. Составляя свой собственный пример, thingprod1.example.net и thingprod2.example.net, с thingprod.example.net как служебный адрес, указывающий на активную сторону. Системные администраторы используют имя хоста, пользовательские приложения используют адрес службы.

Предупреждения о спуфинге DNS и изменении ключа хоста в ssh — это функции безопасности для обнаружения перехвата трафика ssh. Они полагаются на то, что ключ хоста остается неизменным для имени и IP-адреса.

В то время как другие предлагают вам НЕ использовать одно и то же имя хоста (и я с ними согласен), они не предлагают решения.

Фактическим решением является отключение StrictHostKeyChecking.

Для этого вы можете напрямую подключиться к серверу по ssh:

ssh -o StrictHostKeyChecking=no <имя пользователя>@<имя хоста>

Если вы используете конфигурационный файл ssh, он будет выглядеть так:

Хост <имя>
Пользователь <имя пользователя>
Имя хоста <имя хоста>
 StrictHostKeyChecking нет
 UserKnownHostsFile=/dev/null

UserKnownHostsFile=/dev/null гарантирует, что ваш ключ не будет сохранен.