Я хотів би відключити чітку реєстрацію ключів хоста ssh
для Ubuntu 11.04. Як це зробити?
ssh -o UserKnownHostsFile=/dev/null
Я хотів би відключити чітку реєстрацію ключів хоста ssh
для Ubuntu 11.04. Як це зробити?
ssh -o UserKnownHostsFile=/dev/null
Відповіді:
У своєму ~/.ssh/config
(якщо цього файлу не існує, просто створіть його):
Host *
StrictHostKeyChecking no
Це вимкне його для всіх хостів, до яких ви підключаєтесь. Ви можете замінити *
шаблон імені хоста, якщо ви хочете, щоб він застосовано лише до деяких хостів.
Переконайтеся, що дозволи на файл обмежують доступ лише до вас:
sudo chmod 400 ~/.ssh/config
config
моєму домашньому каталозі не вказано жодного файлу .
.ssh
підкаталозі вашого hededir.
ssh -o UserKnownHostsFile=/dev/null
Замість того, щоб додати його у ~/.ssh/config
файл для всіх Host *, безпечніше було б вказати конкретного хоста.
Ви також можете передавати параметр у командному рядку таким чином:
ssh -o StrictHostKeyChecking=no yourHardenedHost.com
Warning: Permanently added 'frxxx.blaps.net,10.11.12.13' (RSA) to the list of known hosts.
ssh -o UserKnownHostsFile=/dev/null
замість цього.
Варто зазначити, що налаштування у вашому конфігурації ssh:
StrictHostKeyChecking no
Буде означати, що хост-ключі все ще додаються до .ssh / known_hosts - вам просто не буде запропоновано запитувати, чи ви їм довіряєте, але якщо хости змінюються, я готовий зробити ставку, ви отримаєте велике попередження про це. Ви можете подолати цю проблему, додавши інший параметр:
UserKnownHostsFile /dev/null
Це додасть усіх цих "нещодавно відкритих" хостів у сміттєвий контейнер. Якщо ключ хоста зміниться, ніяких проблем.
Я не хочу згадувати, що обхід цих попереджень на хост-ключах має очевидні наслідки для безпеки - ви повинні бути обережні, що ви робите це з правильних причин, і що те, що ви підключаєте насправді, це те, що ви маєте на увазі підключитись, а не шкідливий хост, оскільки в цей момент ви порушили основну частину безпеки в ssh як рішення.
Наприклад, якщо ви намагалися встановити це за допомогою командного рядка, повною командою було б:
ssh -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null user@host
Це було б нерозумно - враховуючи, що робочі приклади, наведені вище для файлів ssh config, ймовірно, матимуть більше сенсу у всіх випадках.
ssh -o StrictHostKeyChecking=no -o UserKnownHostFiles=/dev/null user@host
. У моєму випадку я використовую issh
для підключення до хостів, де я знаю, що змінюється ключ хоста.
UserKnownHostsFile
не так UserKnownHostFiles
.
FYI. Я вважаю за краще вимкнути перевірку хосту саме під час використання cssh.
alias cssh='ssh -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null'
cssh
або ssh
?
-o
зайвий?
alias relay='ssh -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null 11086695@172.26.19.19 -p 2222'
робота для мене
З того, що це звучить ,
NoHostAuthenticationForLocalhost yes
може бути для вас досить хорошим. І ви все одно зможете зберегти цю подобу безпеки.
https://askubuntu.com/a/87452/129227 пропонуємо змінити конфігураційний файл, який допомагає. Але замість того, щоб відкривати речі для будь-якого хоста, я хотів, щоб це було зроблено для кожного хоста. Сценарій нижче допомагає автоматизувати процес:
Приклад дзвінка
./sshcheck somedomain site1 site2 site3
скрипт sshcheck
#!/bin/bash
# WF 2017-08-25
# check ssh access to bitplan servers
#ansi colors
#http://www.csc.uvic.ca/~sae/seng265/fall04/tips/s265s047-tips/bash-using-colors.html
blue='\033[0;34m'
red='\033[0;31m'
green='\033[0;32m' # '\e[1;32m' is too bright for white bg.
endColor='\033[0m'
#
# a colored message
# params:
# 1: l_color - the color of the message
# 2: l_msg - the message to display
#
color_msg() {
local l_color="$1"
local l_msg="$2"
echo -e "${l_color}$l_msg${endColor}"
}
#
# error
#
# show an error message and exit
#
# params:
# 1: l_msg - the message to display
error() {
local l_msg="$1"
# use ansi red for error
color_msg $red "Error: $l_msg" 1>&2
exit 1
}
#
# show the usage
#
usage() {
echo "usage: $0 domain sites"
exit 1
}
#
# check the given server
#
checkserver() {
local l_server="$1"
grep $l_server $sconfig > /dev/null
if [ $? -eq 1 ]
then
color_msg $blue "adding $l_server to $sconfig"
today=$(date "+%Y-%m-%d")
echo "# added $today by $0" >> $sconfig
echo "Host $l_server" >> $sconfig
echo " StrictHostKeyChecking no" >> $sconfig
echo " userKnownHostsFile=/dev/null" >> $sconfig
echo "" >> $sconfig
else
color_msg $green "$l_server found in $sconfig"
fi
ssh -q $l_server id > /dev/null
if [ $? -eq 0 ]
then
color_msg $green "$l_server accessible via ssh"
else
color_msg $red "ssh to $l_server failed"
color_msg $blue "shall I ssh-copy-id credentials to $l_server?"
read answer
case $answer in
y|yes) ssh-copy-id $l_server
esac
fi
}
#
# check all servers
#
checkservers() {
me=$(hostname -f)
for server in $(echo $* | sort)
do
os=`uname`
case $os in
# Mac OS X
Darwin*)
pingoption=" -t1";;
*) ;;
esac
pingresult=$(ping $pingoption -i0.2 -c1 $server)
echo $pingresult | grep 100 > /dev/null
if [ $? -eq 1 ]
then
checkserver $server
checkserver $server.$domain
else
color_msg $red "ping to $server failed"
fi
done
}
#
# check configuration
#
checkconfig() {
#https://askubuntu.com/questions/87449/how-to-disable-strict-host-key-checking-in-ssh
if [ -f $sconfig ]
then
color_msg $green "$sconfig exists"
ls -l $sconfig
fi
}
sconfig=~/.ssh/config
case $# in
0) usage ;;
1) usage ;;
*)
domain=$1
shift
color_msg $blue "checking ssh configuration for domain $domain sites $*"
checkconfig
checkservers $*
;;
esac