Як відредагувати відомі_хости, коли кілька хостів мають однакове ім’я IP та DNS?

Я регулярно ssh в комп'ютер, який є комп'ютером з подвійним завантаженням OS X / Linux. Два екземпляри ОС не мають одного і того ж хостового ключа, тому їх можна розглядати як два хости, що мають однаковий IP та DNS. Скажімо, IP є 192.168.0.9, а назви є hostnameіhostname.domainname

Наскільки я зрозумів, рішення мати можливість з'єднатися з двома хостами - це додати їх обох до ~/.ssh/know_hostsфайлу. Однак, це легше сказати , ніж зробити, тому що файл хешіруется, і, ймовірно , кілька входів на хост ( 192.168.0.9, hostname, hostname.domainname). Як наслідок, у мене є таке попередження

Warning: the ECDSA host key for 'hostname' differs from the key for the IP address '192.168.0.9'

Чи є простий спосіб редагувати known_hostsфайл, зберігаючи хеші. Наприклад, як я можу знайти рядки, що відповідають заданому хостаму? Як я можу генерувати хеші для деяких відомих хостів?

Ідеальне рішення дозволило б мені безперешкодно підключитися до цього комп’ютера за допомогою ssh, незалежно від того, я його називаю 192.168.0.9, hostnameабо hostname.domainname, якщо він не використовує свою хост-Linux або OSX хост-ключ. Однак я все ж хочу отримати попередження, якщо є справжня атака "посеред", тобто якщо використовується інший ключ, ніж ці два.

Найпростішим рішенням тут є просто використання однакових ключів хоста для Linux і OS X. Тобто, виберіть один набір /etc/ssh/ssh_host_*_key*файлів і скопіюйте їх в іншу ОС. Тоді той самий хост-ключ буде представлений клієнтові SSH незалежно від того, в яку ОС ви завантажилися, а клієнт SSH не буде мудрішим.

Як @Izzy запропонував у вищенаведеному коментарі, ssh повідомляє вам порушуючий рядок, і, видаливши цей рядок (зберігаючи його в іншому місці), прийнявши новий ключ, а потім скопіювавши видалений рядок назад, ви завершите дві клавіші для того ж хост, а ssh прийме будь-який.

(Ви також ssh-keygen -H -F <hostname>можете знайти рядки у вашому файлі знаних_хостів, які відповідають цьому імені хоста. Запустивши це після копіювання вилученого рядка, слід вказати дві записи.)

Якщо хтось знає, як змусити PuTTY зробити те саме, мені було б дуже цікаво почути про це.

Я виявив, що це може допомогти вам у тому, що ви хочете досягти.

Джерело: /programming/733753/how-to-handle-ssh-host-key-verification-with-2-different-hosts-on-the-same-but

Створіть конфігураційний файл у вашій .ssh каталозі наступним чином:

Host server1
  Hostname x1.example.com
  HostKeyAlias server1
  CheckHostIP no
  Port 22001
  User karl

Host server2
  Hostname x2.example.com
  HostKeyAlias server2
  CheckHostIP no
  Port 22002
  User karl

Пояснення нижче (від man ssh_config)

CheckHostIP

Якщо цей прапор встановлений на "так", ssh (1) додатково перевірить IP-адресу хоста у відомому файлі_hosts. Це дозволяє ssh виявити, чи змінився хост-ключ через підробку DNS. Якщо для параметра встановлено значення "ні", перевірка не буде виконана. За замовчуванням - "так".

HostKeyAlias

Вказує псевдонім, який слід використовувати замість реального імені хоста при пошуку або збереженні ключа хоста у файлах бази даних хост-ключів. Цей параметр корисний для тунелювання SSH-з'єднань або для декількох серверів, що працюють на одному хості.

У рядку Ім'я користувача та Порт уникнути того, що вам потрібно буде надавати ці параметри і в командному рядку, тому ви можете просто використовувати:

% ssh server1
% ssh server2

Найпростіший спосіб вирішити свою проблему - дати кожному хосту власну / чітку IP-адресу. З 253 адресами, доступними у вашій (приватній) мережі та IPv4, це не зайве. Надайте їм фіксовані IP-адреси (як DHCP-сервер ідентифікує апарат на основі MAC-адреси мережевих карт, і обидва отримають однакову адресу). Я не бачу іншого рішення, якщо ви хочете дотримуватись заходів безпеки (які я б не відмовився від цього маленького "комфорту").

Я не стикаюся з цією проблемою під час підключення до різних VPS-боксів, що мають один і той же IP, оскільки кожен має інший порт SSH (20022,30022 тощо), тому вони реєструються як відомі хости з різними ключами.

Це може бути для вас вирішенням?

Ще одна стаття , де описано кілька способів вирішення вашої проблеми:

Другий метод використовує два параметри openSSH:, StrictHostKeyCheckinі UserKnownHostsFile. Цей метод вводить SSH, налаштовуючи його на порожній файл відомих_хостів, а НЕ просити вас підтвердити ключ ідентичності віддаленого хоста.

Оскільки ви хочете тримати чітку перевірку ключів хоста, я б змусив їх використовувати різні known_hostsфайли. Для цього налаштуйте свій ~/.ssh/configфайл (або /etc/ssh/ssh_configфайл, якщо вам це потрібно для роботи в кількох локальних облікових записах користувачів) таким чином:

Host myserver.osx
  UserKnownHostsFile ~/.ssh/known_hosts.dual.osx
  # default is ~/.ssh/known_hosts
  Hostname $REALHOSTNAME

Host myserver.linux
  UserKnownHostsFile ~/.ssh/known_hosts.dual.linux
  Hostname $REALHOSTNAME

, $REALHOSTNAMEзвичайно замінюючи фактичним іменем хоста або IP-адресою. (Не має значення, який ви обираєте, до тих пір, поки ви виберете щось після "Імені хоста", яке б вирішило IP-адресу, але я б використовував ім'я хоста, а не IP-адресу, лише на загальних принципах.)

Тоді ssh myserver.linuxі, ssh myserver.osxтаким чином, можуть бути різні хост-ключі, але ви все одно отримаєте перевірку. Якщо Linux працює і ви вводите OS X (або навпаки), ви отримаєте попередження (на мою думку, це бажаний вплив).

Якби у мене була ця проблема, я б переконався, що в головному known_hostsфайлі було щось зовсім неправильне, що не відповідає жодному з них, так що якщо ви введете $REALHOSTNAMEзамість цього, myserver.osxви отримаєте попередження. :-) Я б це зробив, поставивши щось подібне

<ip-address-of-github.com> $REALHOSTNAME

по-моєму /etc/hosts, потім роблю ssh $REALHOSTNAMEі приймаю новий ключ, а потім виймаю цей запис.