SSHホスト検証エラーを処理する最もスムーズなワークフロー？

これは私たち全員が直面する単純な問題であり、おそらくあまり考えずに手動で解決します。

サーバーが変更されるか、再プロビジョニングされるか、IPアドレスが再割り当てされると、以下のSSHホスト検証メッセージを受け取ります。これらのssh識別エラーを解決するためのワークフローの合理化に興味があります。

次のメッセージが表示されたら、通常、問題のある行vi /root/.ssh/known_hosts +434を削除します（dd）。

他の組織の開発者/ユーザーが、このメッセージを見ることに不満からファイル全体を 削除するのを見てきましたknown_hosts。私はそこまで行きませんが、これを処理するよりエレガントな方法があることを知っています。

ヒント？

[root@xt ~]# ssh las-db1

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
ed:86:a2:c4:cd:9b:c5:7a:b1:2b:cc:42:15:76:8c:56.
Please contact your system administrator.
Add correct host key in /root/.ssh/known_hosts to get rid of this message.
Offending key in /root/.ssh/known_hosts:434
RSA host key for las-db1 has changed and you have requested strict checking.
Host key verification failed.

このssh-keygenコマンドを使用して、ホストごとに特定のエントリを削除できます。

ssh-keygen -R las-db1

そのコマンドがない場合は、常にsedを使用できます。

sed -i '/las-db1/d' /root/.ssh/known_hosts

puppetユーザーとして、これを解決する私の方法は、実際にpuppetサーバーにSSHホストキーを収集させ、SSH接続を行うすべてのシステムに公開することです。

このように、それらを削除することを心配する必要はありません。エージェントが30分ごとに実行されているため、パペットが実行され、キーが更新された時間の99％。私の例外は非常にまれであるため、待機するつもりがない場合は、システム全体のknown_hostsをすばやく編集してもかまいません。

class ssh::hostkeys {

  @@sshkey { "${::clientcert}_rsa":
    type => rsa,
    key => $sshrsakey,
    tag => 'rsa_key',
  }

  if 'true' == $common::params::sshclient {
    Sshkey <<| tag == 'rsa_key' |>> {
      ensure => present
    }
  }

  file {'/etc/ssh/ssh_known_hosts':
    ensure => present,
    owner => 'root',
    group => 'root',
    mode => 0644,
  }

}

セキュリティがそれほど重要ではない非常に特定の場合に役立つ提案を追加したいと思います。

頻繁に再インストールされるマシンのあるラボ環境があります。そのたびに、新しいホストキーが生成されます（おそらく、ホストキーをどこかに保存し、インストール後のスクリプトで設定できます）。

このラボ環境ではセキュリティは私にとって問題ではなく、キーは頻繁に変更されるため、.ssh / configファイルには次のものがあります。

Host lab-*
  User kenny
  IdentityFile ~/.ssh/lab_id_rsa
  StrictHostKeyChecking no
  UserKnownHostsFile=/dev/null

これにより、ラボマシンに接続してもそのエラーが発生することはなく、sshクライアントはホストキーを確認せずに接続するだけです。

これは、セキュリティがまったく問題にならない場合にのみ行うべきことです。これは、中間者攻撃に対して脆弱な立場に置かれるためです。

openssh 5.6リリースノートによると、ホストキーを使用する必要はもうありません。

ホストベースの認証では、証明書ホストキーを使用できるようになりました。CAキーは、sshd（8）で説明されている@ cert-authorityマーカーを使用して、known_hostsファイルで指定する必要があります。

警告：これまでのところ、本番環境でこの機能を使用している人はいません。ご自身の責任で使用してください（ただし、openssh開発者は、多くのテストとコード監査を行わずに、このようなキラー機能をリリースしないほど妄想的です）。

SSHFP DNS ResourceRecordは、sshクライアントがそれをどの程度活用するかによって役立ちます。すべてのssh公開キーフィンガープリントをホスト名とともにそこに保存します。

DNSSECまたはDNS over SSLを事前に実装します。
http://www.ietf.org/rfc/rfc4255.txt

FreeIPA.orgは、ホストおよびユーザーキーの管理とPKI証明書を処理します。また、新しいキーが作成されると、SSHFP DNSレコードを自動的にアップロードします。

システムセキュリティサービスデーモン（SSSD）は、ホストSSHキーをキャッシュおよび取得するように構成できるため、アプリケーションとサービスは、ホストキーを1つの場所で探すだけで済みます。SSSDはそのID情報プロバイダーの1つとしてFreeIPAを使用できるため、FreeIPAはユニバーサルで集中化されたキーのリポジトリを提供します。管理者は、ホストSSHキーの配布、更新、検証について心配する必要はありません。

http://docs.fedoraproject.org/en-US/Fedora/17/html/FreeIPA_Guide/host-keys.html