Publikus kulccsal ssh-val mennék egyik gépről egy másikra, de ez a másik gép igazából két gép amik felváltva működnek és mindig az aktív veszi fel a csatlakozás ip-jét.
Az a gondom, hogy gépváltás után a known-hosts-ra hivatkozik az ssh, hogy nem stimmel a kulcs, ha azt kitörlöm akkor rendben csatlakozik.
Hogy tudnék úgy csatlakozni hogy dinamikusan kezelje a known-hosts file-ban lévő kulcsokat, és csatlakozáskor ne kérdezzen rá, hogy létrehozza e az újat?
köszi
- 2014 megtekintés
Hozzászólások
Gány, meg biztonság szempontból szúrja a szemem, de szerintem ha ugyanazokat a host keyeket használod mindkét ssh szerveren, akkor elvileg azt fogja hinni, hogy a kettő ugyanaz. A baj az, hogy az SSH egyik lényegét ölöd meg ezzel (legalábbis részben), vagyis hogy egyértelműen azonosítsd a célgépet.
- A hozzászóláshoz be kell jelentkezni
köszi
Az a baj, hogy nekem is :)
Ezért gondoltam egy esetleges server oldali kulcs tárolásra, de sajnos ennyire nem értek az ssh-hoz, ezért kértem a ti segítségeteket.
- A hozzászóláshoz be kell jelentkezni
Az egyik lehetőség, ahogy korci is írta: mindkét gép ugyanazzal a host kulccsal megy. Nem szép, de működik.
A másik lehetőség, hogy kihasználod azt: a .konwn_hosts file olyan módon tárolja a gép nevet, ahogy megadtad. Tehát ha van egy 'gep-a' és egy 'gep-b' nevű masinád, mindkettőhöz ugyanaz az IP tartozik, akkor ha ssh-nál nem IP-t írsz, hanem gép nevet, akkor a .known_hosts file-ban két különböző bejegyzés jön létre, egyik a 'gep-a'-hoz, a másik a 'gep-b'-hez. Innen kezdve ha nyomsz egy 'ssh gep-a'-t, akkor két lehetőséged van: vagy tényleg a 'gep-a' csücsül az adott IP-n és akkor gond nélkül indul az ssh kapcsolat - vagy a 'gep-b' van ott és akkor visszalázad az eltérő host kulcsok miatt. Ekkor viszont kiadhatod az 'ssh gep-b' parancsot és ebben az esetben ez gond nélkül működni fog. A módszernek előnye, hogy egyértelműen megkülönbözteti, hogy melyik gépre léptél be, nem kell a host kulcsok átmásolásával játszani és nem kell a .known_host file-t se szerkeszteni. Hátránya, hogy nem biztos hogy az első ssh parancs beenged... Ja igen: és nem mehetsz IP alapokon, hanem mindenképp kell gép név, de legrosszabb esetben ez ugyi bevasalható az /etc/hosts file-ba...
- A hozzászóláshoz be kell jelentkezni
isten vagy :)
THX
- A hozzászóláshoz be kell jelentkezni
bár ez még gond lehet:
Warning: the RSA host key for 'host_pc1' differs from the key for the IP address '10.107.107.12'
Offending key for IP in /var/www/.ssh/known_hosts:5
Matching host key in /var/www/.ssh/known_hosts:6
Are you sure you want to continue connecting (yes/no)?
- A hozzászóláshoz be kell jelentkezni
-o StrictHostKeyChecking=false ?
- A hozzászóláshoz be kell jelentkezni
ez bejön
- A hozzászóláshoz be kell jelentkezni
Itt van egy rövid leírás:
http://www.gablog.eu/online/node/35
--
The Net is indeed vast and infinite...
http://gablog.eu
- A hozzászóláshoz be kell jelentkezni