Вопросы Теги

Как удалить строгий ключ RSA, регистрируясь в SSH и какова проблема здесь?

Я имею clamwin и делаю еженедельное сканирование на моем файловом сервере, который не видит много действия. У меня была Symantec, AV ранее и сканирование на доступе к файлу уничтожали производительность.

42
задан 8 May 2009 в 14:53
6 ответов

Не удаляйте весь known_hosts файл, как рекомендовали некоторые люди, это полностью освобождает точку предупреждения. Это - средство защиты, чтобы предупредить Вас, что человек в среднем нападении, возможно, произошел.

Я предлагаю, чтобы Вы определили, почему это думает, что что-то изменилось, скорее всего, обновление SSH изменило ключи шифрования из-за возможной дыры в системе безопасности. Можно затем произвести чистку той определенной строки из known_hosts файла:

sed -i 377d ~/.ssh/known_hosts

Это удаляет строку 377 как показано после двоеточия в предупреждении:

/home/emerson/.ssh/known_hosts:377

Кроме того, можно удалить соответствующий ключ путем выполнения следующего

ssh-keygen -R 127.0.0.1 (obviously replace with the server's IP)

НЕ производите чистку всего файла и удостоверяйтесь, что это - на самом деле машина, с которой Вы хотите соединиться до чистки определенного ключа.

68
ответ дан 28 November 2019 в 19:42
  • 1
    Не собираясь удалять более чем 350 серверов из-за одного ключевого несоответствия. Какая-либо идея, почему это продолжает закрывать соединение? –  setatakahashi 9 May 2009 в 03:25
  • 2
    Разве это не решено, после того как Вы удаляете соответствующую запись known_hosts? В противном случае могли Вы выполнять ssh клиент в подробном режиме и pastebin это куда-нибудь. –  Adam Gibbins 9 May 2009 в 11:47
  • 3
    It' s закрытие машины, потому что ключ хоста недопустим, точно так же, как это говорит. Если Вы серьезно относитесь к безопасности, необходимо свериться с server' s администратор для проверки ключа хоста, измененного по законной причине. Если так, можно заменить его, как объяснил Adam. –  Matthew Flaschen 9 May 2009 в 22:07

В первую очередь, эта Ваша машина? Вы сознательно изменяли ключи хоста? Если не я был бы очень соответствующим, что что-то изменило те данные.

Во-вторых, поднимите отлаживающий ssh,

ssh -vvv user@host

и посмотрите то, что это говорит Вам, также попытайтесь заглянуть,/var/log/secure и/var/log/messages на сервере, с которым Вы пытаетесь соединиться для подсказок, sshd дает хорошие сообщения об ошибках.

В-третьих, эта машина подключена к Интернету? Необходимо ли действительно позволять корневые логины?

5
ответ дан 28 November 2019 в 19:42

Вы получаете это, потому что что-то изменилось (как новый NIC, новый IP, изменение на программном обеспечении сервера, и т.д.). Фокус безопасности имеет хорошую статью о защите ключа хоста SSH.

Просто удалите ключ (использование SFTP или подобный) с сервера путем редактирования $HOME/.ssh/known_hosts файл, и принимает новый после следующего соединения.

Ваше соединение могло бы становиться отброшенным из-за установки StrictHostKeyChecking. Посмотрите этот поток для подобной проблемы.

3
ответ дан 28 November 2019 в 19:42
  • 1
    Noooo, don' t делают это. Это полностью пустоты вся безопасность эта функция обеспечивает. Только удалите определенный ключ, который изменился, не весь known_hosts. –  Adam Gibbins 8 May 2009 в 14:52
  • 2
    Я не рекомендовал удалить known_hosts файл, я рекомендовал отредактировать его и удалить ключ из него. –   8 May 2009 в 14:55
  • 3
    Ooop, извините, неправильно читается. –  Adam Gibbins 8 May 2009 в 14:56
  • 4
    Это сообщение не может, конечно, быть инициировано новым IP-адресом, а тем более новым NIC. Посмотрите Adam Gibbins' корректный ответ. –  bortzmeyer 8 May 2009 в 15:05
  • 5
    Прежде чем Вы провалите (я нахожу людей очень триггером довольный этим), проведите свое исследование. Прочитайте эту статью Focus безопасности, securityfocus.com/infocus/1806 . Я заключаю немного в кавычки это: " Почему ключ хоста может измениться? Машина, с которой Вы хотите соединиться, была перемещена в другое имя DNS или IP-адрес или it' s замененный новым полностью " Если ответ является ужасно неправильным, позвольте шанс для исправления. В конце концов, это - Wiki. –   8 May 2009 в 15:14

Я думаю, что хотя некоторые из ответов здесь относятся к рекомендуемому порядку действий в вопросе OP, он не дает полного ответа на вопрос.

В вопросе говорится: «Как удалить строгий ключ RSA проверка в SSH и в чем здесь проблема? "

Проблема здесь в том, как и советуют некоторые другие, в изменении хоста, вероятно, из-за переустановки сервера (наиболее распространенный сценарий). И действительно, рекомендуемое решение состоит в том, чтобы удалить неверный ключ из файла .ssh / authorized_keys с помощью встроенного sed.

Однако я не видел никаких ответов, касающихся конкретной части вопроса " Как удалить строгую проверку ключей RSA в SSH ".

Вы можете удалить проверку StrictHostKey в своем файле конфигурации ssh, который обычно хранится в ~ / .ssh / config .

Пример блока Host приведен ниже: 

Host 101
  HostName yourip|hostname
  User youruserid
  IdentityFile /path/to/keyfile
  Port 22
  StrictHostKeyChecking no

Специально добавленная строка - последняя StrictHostKeyChecking no , которая делает именно то, что это. В зависимости от вашего конкретного сценария это может быть полезно для вас, например, запуск нескольких виртуализированных контейнеров на выделенном сервере всего за несколько IP-адресов, остановка и запуск другого экземпляра с тем же IP.

27
ответ дан 28 November 2019 в 19:42

Другой способ удалить StrictHostKeyChecking, когда вам нужно сделать это только для одного сервера: 

ssh <server> -o StrictHostKeyChecking=no
10
ответ дан 28 November 2019 в 19:42

В качестве «хоста» [в широком смысле это может быть все, от переустановки / мультизагрузки до совершенно другого компьютера с IP-адресом, к которому вы подключались раньше, например] появляется для ssh-клиент изменился, это выдает ошибку.

Нет необходимости отключать строгую проверку и нецелесообразно массовое удаление сохраненных ключей.

Вполне возможно иметь два разных ключа, перечисленных в known_hosts для конкретное имя хоста или IP-адрес;дает вам 2 альтернативы в зависимости от того, считаете ли вы, что вам может понадобиться «старый» ключ, который в настоящее время хранится в known_hosts

. Либо удалите конкретный ключ, на который он ссылается, на l377 из known_hosts для OP, либо оставьте оба

Самый простой способ сохранить и то и другое, избегая удаления ключей в known_hosts, - это

  1. Edit known_hosts, чтобы временно добавить # в начало «старой» записи, указанной в known_hosts [@ l377]
  2. Подключить [ssh к хосту] , согласитесь с предложением добавить новый ключ «автоматически»
  3. Затем повторно отредактируйте known_hosts, чтобы удалить еще #

ответов на «Добавить правильный ключ хоста в known_hosts» / несколько ключей хоста ssh для каждого имени хоста?

3
ответ дан 28 November 2019 в 19:42

Теги

Похожие вопросы