Comment gérer l'hôte ssh vérification de la clé avec 2 différents hôtes sur le même (mais en changeant d'adresse IP?
J'ai 2 serveurs ssh derrière un pare-feu nat à un endroit qui change son IP wan chaque jour. Ils sont toujours à la même adresse IP wan sur un temps donné, mais sur des ports différents.
Je me connecte à Un serveur de cette façon:
ssh -p 22001 [email protected]
et le serveur B:
ssh -p 22002 [email protected]
Donc, je reçois 2 différentes clés d'hôte pour la même adresse IP, et aussi lorsque les changements de propriété intellectuelle, même d'une adresse IP différente pour le même hôte.
Je dois aller sur la suppression de plus de et plus de la clé ou de l'ancienne clé (en cas de changement IP) dans le fichier known_hosts.
Je suis hésitant pas à tourner la clé de vérification, parce que ce serait moins sûr. Mais l'obtention d'un avertissement, tout le temps est également non sécurisée (parce que je ignorer ces mises en garde tout le temps à l'époque). Est-il une meilleure solution?
Cela est lié à mon ancienne question ici, mais pas le même:
Une connexion SSH message d'avertissement sur un serveur avec 2 noms DNS
OriginalL'auteur user89021 | 2009-04-09
Vous devez vous connecter pour publier un commentaire.
Je pense que cela va fonctionner:
Créer un
config
fichier dans votre.ssh
répertoire comme suit:L'explication ci-Dessous (à partir de
man ssh_config
)La
Username
etPort
ligne vous évite d'avoir à donner à ces options sur la ligne de commande, trop, de sorte que vous pouvez simplement utiliser:Je me demandais: est-il un moyen de ssh est de stocker l'IP ET le port dans les known_hosts? IIUC, ce qui devrait permettre une certaine protection contre l'usurpation DNS, droit?
sur mon MacOS X port (si non-standard) est stockée dans
known_hosts
.Vous ne savez pas si c'est un développement récent, mais OpenSSH au moins comme de la v5.9 reconnaît
host:22001
ethost:22002
comme deux armées; donc, pas d'avertissement "à DISTANCE de la CLÉ d'HÔTE A CHANGÉ".Une façon de continuer à permettre l'usurpation d'identité de détection est de spécifier un distinct UserKnownHosts fichier pour chaque port sur la même adresse IP dans la configuration du serveur entrées.
OriginalL'auteur