Làm cách nào để chỉnh sửa know_host khi một số máy chủ chia sẻ cùng tên IP và DNS?

Tôi thường xuyên ssh vào một máy tính là máy tính OS X / Linux khởi động kép. Hai phiên bản HĐH không chia sẻ cùng một khóa máy chủ, vì vậy chúng có thể được xem là hai máy chủ chia sẻ cùng một IP và DNS. Giả sử IP là 192.168.0.9, và tên là hostnamevàhostname.domainname

Theo tôi hiểu, giải pháp để có thể kết nối với hai máy chủ là thêm cả hai vào ~/.ssh/know_hoststệp. Tuy nhiên, nó được nói dễ hơn làm, bởi vì các tập tin được băm, và có lẽ một số mục cho mỗi máy chủ ( 192.168.0.9, hostname, hostname.domainname). Kết quả là, tôi có cảnh báo sau

Warning: the ECDSA host key for 'hostname' differs from the key for the IP address '192.168.0.9'

Có một cách dễ dàng để chỉnh sửa known_hoststập tin, trong khi vẫn giữ băm. Ví dụ: làm thế nào tôi có thể tìm thấy các dòng tương ứng với một tên máy chủ nhất định? Làm cách nào tôi có thể tạo băm cho một số máy chủ đã biết?

Các giải pháp lý tưởng sẽ cho phép tôi để kết nối với liên tục với máy tính này với ssh, dù tôi gọi nó 192.168.0.9, hostnamehoặc hostname.domainname, cũng không nếu nó sử dụng hostkey Linux hoặc hostkey OSX của nó. Tuy nhiên, tôi vẫn muốn nhận được một cảnh báo nếu có một cuộc tấn công trung thực thực sự, tức là nếu một khóa khác ngoài hai khóa này được sử dụng.

Giải pháp đơn giản nhất ở đây chỉ là sử dụng cùng một khóa máy chủ cho Linux và OS X. Nghĩa là chọn một bộ /etc/ssh/ssh_host_*_key*tệp và sao chép chúng sang HĐH khác. Sau đó, cùng một khóa máy chủ sẽ được trình bày cho máy khách SSH bất kể bạn đã khởi động hệ điều hành nào và máy khách SSH sẽ không phải là người khôn ngoan hơn.

Như @Izzy đã đề xuất trong một nhận xét ở trên, ssh cho bạn biết dòng vi phạm và bằng cách xóa dòng đó, (lưu nó ở nơi khác), chấp nhận khóa mới và sau đó sao chép lại dòng đã xóa, bạn kết thúc bằng hai phím cho cùng máy chủ, và ssh sẽ chấp nhận một trong hai.

(Bạn cũng có thể sử dụng ssh-keygen -H -F <hostname>để tìm các dòng trong tệp know_hosts khớp với tên máy chủ đó. Chạy nó sau khi sao chép dòng bị xóa trở lại sẽ liệt kê hai mục.)

Nếu bất cứ ai biết làm thế nào để PuTTY làm điều tương tự, tôi sẽ rất thích thú khi nghe về nó.

Tôi thấy điều này có thể giúp bạn với những gì bạn muốn đạt được.

Nguồn: /programming/733753/how-to-handle-ssh-host-key-verification-with-2-different-hosts-on-the-same-but

Tạo một tệp cấu hình trong thư mục .ssh của bạn như sau:

Host server1
  Hostname x1.example.com
  HostKeyAlias server1
  CheckHostIP no
  Port 22001
  User karl

Host server2
  Hostname x2.example.com
  HostKeyAlias server2
  CheckHostIP no
  Port 22002
  User karl

Giải thích bên dưới (từ man ssh_config)

CheckhostIP

Nếu cờ này được đặt thành "có", ssh (1) sẽ kiểm tra thêm địa chỉ IP máy chủ trong tệp đã biết. Điều này cho phép ssh phát hiện nếu khóa máy chủ thay đổi do giả mạo DNS. Nếu tùy chọn được đặt thành "không", kiểm tra sẽ không được thực hiện. Mặc định là "có".

HostKeyAlias

Chỉ định một bí danh nên được sử dụng thay vì tên máy chủ thực khi tra cứu hoặc lưu khóa máy chủ trong các tệp cơ sở dữ liệu khóa máy chủ. Tùy chọn này hữu ích để tạo đường hầm kết nối SSH hoặc cho nhiều máy chủ đang chạy trên một máy chủ.

Dòng Tên người dùng và Cổng cũng tránh bạn phải cung cấp các tùy chọn đó trên dòng lệnh, vì vậy bạn chỉ có thể sử dụng:

% ssh server1
% ssh server2

Cách dễ nhất để giải quyết vấn đề của bạn là cung cấp cho mỗi máy chủ một địa chỉ IP riêng / riêng. Với 253 địa chỉ có sẵn trong mạng (riêng tư) và IPv4 của bạn, điều đó sẽ không có vấn đề gì lớn. Cung cấp cho họ IP cố định (vì máy chủ DHCP sẽ xác định máy dựa trên địa chỉ MAC của thẻ mạng và cả hai sẽ có cùng một địa chỉ). Tôi không thấy bất kỳ giải pháp nào khác nếu bạn muốn giữ các biện pháp bảo mật (mà tôi sẽ không bỏ qua cho "sự thoải mái" nhỏ đó).

Tôi không gặp phải vấn đề đó khi kết nối với nhiều hộp VPS khác nhau chia sẻ cùng một IP vì mỗi hộp có một cổng SSH khác nhau (20022.30022, v.v.) để chúng được đăng ký là máy chủ đã biết với các khóa khác nhau.

Đó có thể là một cách giải quyết cho bạn?

Một bài viết khác , mô tả một số cách để xử lý vấn đề của bạn:

Phương thức thứ hai sử dụng hai tham số openSSH: StrictHostKeyCheckinvà UserKnownHostsFile. Phương pháp này đánh lừa SSH bằng cách định cấu hình nó để sử dụng tệp know_hosts trống và KHÔNG yêu cầu bạn xác nhận khóa nhận dạng máy chủ từ xa.

Vì bạn muốn kiểm tra khóa máy chủ nghiêm ngặt, tôi sẽ cho họ sử dụng các known_hoststệp khác nhau . Để thực hiện việc này, hãy thiết lập ~/.ssh/configtệp của bạn (hoặc /etc/ssh/ssh_configtệp nếu bạn cần điều này để hoạt động trên nhiều tài khoản người dùng cục bộ) như thế này:

Host myserver.osx
  UserKnownHostsFile ~/.ssh/known_hosts.dual.osx
  # default is ~/.ssh/known_hosts
  Hostname $REALHOSTNAME

Host myserver.linux
  UserKnownHostsFile ~/.ssh/known_hosts.dual.linux
  Hostname $REALHOSTNAME

, thay thế $REALHOSTNAMEbằng tên máy chủ hoặc địa chỉ IP thực tế, tất nhiên. (Không quan trọng bạn chọn gì, chỉ cần bạn chọn thứ gì đó sau "Tên máy chủ" sẽ phân giải thành địa chỉ IP, nhưng tôi sẽ sử dụng tên máy chủ theo sở thích cho địa chỉ IP, theo nguyên tắc chung.)

Sau đó ssh myserver.linuxvà ssh myserver.osxdo đó có thể có các khóa máy chủ khác nhau, nhưng bạn vẫn kiểm tra được. Nếu đó là Linux và bạn gõ OS X (hoặc ngược lại), bạn sẽ nhận được cảnh báo (mà tôi tin là ảnh hưởng mong muốn).

Nếu tôi gặp vấn đề này, tôi chắc chắn rằng có một cái gì đó hoàn toàn sai trong known_hoststệp chính không khớp với một trong hai, do đó nếu bạn nhập $REALHOSTNAMEthay vì myserver.osxbạn nhận được cảnh báo. :-) Tôi sẽ làm điều đó bằng cách đặt một cái gì đó như

<ip-address-of-github.com> $REALHOSTNAME

trong tôi /etc/hosts, sau đó thực hiện ssh $REALHOSTNAMEvà chấp nhận khóa mới, sau đó lấy mục đó ra.