「known_hosts」から指定されたキーを削除しても、「ssh障害:/ var / lib / sss / pubconf / known_hosts内の問題のあるRSAキー」が引き続き表示される
同様の質問が何度も行われていることは知っていますが、ここでは違いがあります。
取得したサーバーにSSH接続しようとしています。
$ ssh cl11lx
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE Host IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a Host key has just been changed.
The fingerprint for the ECDSA key sent by the remote Host is
07:51:03:4e:5e:ba:e8:44:70:77:cb:57:78:57:59:35.
Please contact your system administrator.
Add correct Host key in /nethome/ajalali/.ssh/known_hosts to get rid of this message.
Offending RSA key in /var/lib/sss/pubconf/known_hosts:8
remove with: ssh-keygen -f "/var/lib/sss/pubconf/known_hosts" -R cl11lx
ECDSA Host key for cl11lx has changed and you have requested strict checking.
Host key verification failed.
私が見つけた最も関連のある質問は here であり、これは this one の複製として閉じられており、それ自体はトピック外として閉じられています。しかし、彼らはとにかく同じではありません。別の関連する質問が尋ねられます ここ 。
ほとんどの場合、ご存じのとおり、たとえば次のコマンドを実行することでサーバーキーを置き換えることで問題を解決できます。
ssh-keygen -R <Host>
しかし、この解決策も、問題のあるキーをファイルから削除することも/var/lib/sss/pubconf/known_hostsは私の問題を解決しました。
そのファイル全体を削除するか、問題のキーを削除するとすぐに、キーが元に戻ります。
私のシステムはすべてfreeipaサーバーのメンバーであり、それ自体はバックエンドのLDAP/Kerberosであることに注意してください。
投稿されたログにあるように、問題のキーは通常の場所、つまり$HOME/.ssh/known_hostsではなく、/var/lib/sss/pubconf/known_hostsにあります。これは、システムセキュリティサービスデーモン別名sssdが別のソースから問題のキーをフェッチしていることを示唆しています。
キーがファイルから何度も何度もフェッチされるため、ファイルからキーを削除しても効果がないのはこのためです。
この場合、サーバーはFreeIPAサーバーです。したがって、問題を修正するには、IPAサーバーから送信された問題のキーを変更する必要があります。
これは、サーバーのキーを手動で変更するか、サーバーからホスト情報を完全に削除して、クライアントを(ipa-client-install経由で)再度インストールすることで実行できます。
クライアントにOSを再インストールした後、問題が発生しました。したがって、サーバーからホスト情報を削除し、IPAクライアントを再インストールすることは、私にとって賢明なオプションです。