Quá trình di chuyển khóa máy chủ SSH sang máy chủ mới


9

Sẽ sớm chuyển một máy chủ sang phần cứng mới trong một trung tâm dữ liệu mới và tất nhiên điều này có nghĩa là một IP mới.

Quy trình chính xác (nếu có) là gì để di chuyển các khóa SSH từ máy chủ ban đầu sang máy chủ mới để khách hàng kết nối không nhận được bất kỳ cảnh báo nào hoặc phải chấp nhận lại bất cứ điều gì?

Thậm chí là có thể, xem xét IP đang thay đổi?

Tôi phải di chuyển những tập tin nào? Tôi giả sử tất cả các tệp ssh_host_ *.

Chuyển từ RHEL 5 sang Ubuntu 10.04.

Câu trả lời:


8

Bạn có thể di chuyển các phím từ serer hiện tại của bạn sang máy chủ mới mà không gặp nhiều rắc rối. Bạn chỉ cần đảm bảo rằng họ đi vào cùng một vị trí và có cùng sự cho phép.

Mặc dù vậy, lý tưởng nhất là bạn nên tận dụng cơ hội để tạo khóa mới và cập nhật khóa khách hàng vì lợi ích bảo mật.


2
Tôi quên thêm rằng người dùng của bạn có thể nhận được cảnh báo khi họ kết nối với máy chủ mới rằng họ đã có máy chủ lưu trữ trong tệp kiến ​​thức phù hợp với khóa mà họ đang xác thực. Điều này có nghĩa là họ sẽ phải xóa mục trong tệp máy chủ đã biết. Bạn không thể vượt qua điều này.
Mike

1
Vì vậy, nếu người dùng có thể nhận được một cảnh báo nào đó, có nhiều điểm trong việc di chuyển các phím không?
Daniel Huckstep

1
người dùng sẽ nhận được một waring. Nó sẽ là một người đàn ông trong tin nhắn tấn công giữa. Trông có vẻ đáng sợ nhưng nếu bạn xóa know_hosts khỏi máy khách, họ sẽ nhận được một tin nhắn ít đáng sợ hơn. Tôi không biết đi xung quanh một dấu nhắc nào đó.
egorgry

5

1) Nếu các tệp cấu hình sshd của bạn được lưu trữ trong / etc / ssh /, bạn sẽ cần sao chép tất cả các tệp đó. Bạn sẽ tìm thấy cấu hình sshd ở đó, cũng như khóa máy chủ.

Hãy chắc chắn rằng bạn sao chép chính xác các quyền quá! Sshd sẽ đơn giản bỏ qua các khóa không được bảo vệ đúng cách. (Tốt, vì một khóa riêng không được bảo vệ là một ý tưởng rất tồi.)

2) Nếu bạn đã thêm khóa công khai của máy chủ từ xa đáng tin cậy và không yêu cầu mật khẩu để đăng nhập nữa, bạn cũng sẽ phải sao chép thông tin đó để tự động đăng nhập hoạt động trở lại. Thông tin này được lưu trữ bình thường trong /home/-account-/.ssh/ (theo ủy quyền). Một lần nữa, đừng quên các quyền ở đây.


Về thay đổi địa chỉ IP, giả sử khách hàng từ xa thực sự thấy thay đổi IP (bạn không đứng sau một số proxy ngược hoặc bất cứ điều gì), thì không, họ sẽ yêu cầu người dùng chấp nhận lại chứng chỉ. .

Vì vậy, chỉ cần sử dụng cùng một địa chỉ IP (bên ngoài) trên máy chủ mới có ý nghĩa.


0

Bạn đã không đề cập đến hệ điều hành của bạn. Tôi có thể nói với bạn chắc chắn rằng một máy chủ RHEL có các khóa máy chủ được lưu trữ trong / etc / ssh. Chỉ cần sao chép toàn bộ thư mục đó. Sau đó, bạn sẽ cần phải trả lại sshd / khởi động lại hộp.

Tôi tin rằng miễn là bạn đang kết nối qua cùng một tên DNS, bạn không nên nhận được cảnh báo. Ngay cả với IP mới.


--Christopher Karel


Đã thêm ghi chú về hệ điều hành là gì
Daniel Huckstep

1
Sau đó, yeah, / etc / ssh là thư mục bạn muốn. Tôi chỉ khuyên bạn nên sử dụng các phím ssh_host *. Đừng di chuyển các tập tin cấu hình. Và bạn sẽ muốn sao lưu phía đích của mọi thứ, chỉ để được an toàn.
Christopher Karel
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.