この小さなユーティリティスクリプトを作成しました。
for h in $SERVER_LIST; do ssh $h "uptime"; done新しいサーバーがに追加される$SERVER_LISTと、スクリプトは次のように停止します。
The authenticity of host 'blah.blah.blah (10.10.10.10)' can't be established.
RSA key fingerprint is a4:d9:a4:d9:a4:d9a4:d9:a4:d9a4:d9a4:d9a4:d9a4:d9a4:d9.
Are you sure you want to continue connecting (yes/no)?私が試しましたyes:
for h in $SERVER_LIST; do yes | ssh $h "uptime"; done運がありません。
ssh新しいキーを自動的に受け入れるようにパラメーター化する方法はありますか?
回答:
たとえば、StrictHostKeyCheckingオプションを使用します。
ssh -oStrictHostKeyChecking=no $h uptimeこのオプションは〜/ .ssh / configにも追加できます。例:
Host somehost
Hostname 10.0.0.1
StrictHostKeyChecking noホストキーが変更されると、このオプションを使用しても警告が表示されることに注意してください。
$ ssh -oStrictHostKeyChecking=no somehost uptime
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
31:6f:2a:d5:76:c3:1e:74:f7:73:2f:96:16:12:e0:d8.
Please contact your system administrator.
Add correct host key in /home/peter/.ssh/known_hosts to get rid of this message.
Offending RSA key in /home/peter/.ssh/known_hosts:24
remove with: ssh-keygen -f "/home/peter/.ssh/known_hosts" -R 10.0.0.1
Password authentication is disabled to avoid man-in-the-middle attacks.
Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks.
ash: uptime: not foundホストを頻繁に再インストールしない場合は、オプションを使用してこれを安全性の低いものにすることができます(ただし、ホストキーを頻繁に変更する方が便利です)-oUserKnownHostsFile=/dev/null。これにより、受信したすべてのホストキーが破棄されるため、警告は生成されません。
18.04では、新しい可能性がありますStrictHostKeyChecking=accept-new。からman 5 ssh_config:
If this flag is set to “accept-new” then ssh will automatically
add new host keys to the user known hosts files, but will not
permit connections to hosts with changed host keys. If this flag
is set to “no” or “off”, ssh will automatically add new host keys
to the user known hosts files and allow connections to hosts with
changed hostkeys to proceed, subject to some restrictions.ssh-keyscanお使いのシステムで利用可能な場合は望ましいです。
ssh-keyscanアプローチはより健全です。動的/再利用されたIPアドレスを持つ信頼できるネットワーク内のローカル仮想マシンおよびその他のホストの場合、説明したアプローチで十分です。
ssh-keyscanだけです。このソリューションは、一度ssh-keyscan実行されている中間者攻撃のみを受けやすい傾向があります。この-oStrictHostKeyChecking=noソリューションは、ssh実行されるたびに中間者攻撃を受ける傾向があります。
次のコマンドを使用して、サーバーの指紋をknown_hostsに追加できます。
ssh-keyscan -H <ip-address> >> ~/.ssh/known_hosts
ssh-keyscan -H <hostname> >> ~/.ssh/known_hosts注: <ip-address>および<hostname>を、追加するサーバーのIPおよびDNS名に置き換えます。
これの唯一の問題は、known_hostsにいくつかのサーバーが2回存在することです。それは本当に大したことではなく、言及しただけです。重複がないようにするには、最初に次を実行してすべてのサーバーを削除できます。
ssh-keygen -R <ip-address>
ssh-keygen -R <hostname>だからあなたは実行することができます:
for h in $SERVER_LIST; do
ip=$(dig +search +short $h)
ssh-keygen -R $h
ssh-keygen -R $ip
ssh-keyscan -H $ip >> ~/.ssh/known_hosts
ssh-keyscan -H $h >> ~/.ssh/known_hosts
done単に追加し直すために削除する際に留意すべきことの1つは、指紋を検証するセキュリティを本質的に削除することです。したがって、ユーティリティスクリプトを実行する前にこのスクリプトを実行することは絶対に避けたいでしょう。
-Hホスト名とアドレスをハッシュするメモを追加することもできます。
私はこの応答に少し遅れていますが、賢明な方法は、稼働時間の収集を実行する前に新しいマシンでssh-keyscanを実行することです。
ssh-keyscan <newhost> >> ~/.ssh/known_hostsたとえあなたが環境を完全に制御していると思っていても、利便性のために健全性チェックを無効にすることは悪い計画のように思えます。
StrictHostKeyChecking no
yes、「y」を出力するので、幸運があったかもしれないことに注意したいだけですfor h in $SERVER_LIST; do yes yes | ssh $h "uptime"; done(余分なyesに注意してください。 ")。