SSHホストの信頼性の問題
「ホストxxの信憑性を確立できない」という素晴らしいメッセージを受け取っています。ボックスにSSHで接続しようとするとメッセージが表示されます。最近名前を交換した2つのシステムがあります。私のシステムはRHEL5.6ボックスです。
IPxxを備えたシステムX
IPyyのシステムY
IP yyのシステムX、IPxxのシステムYに変更されました。
(私たちがやったことを説明するのに十分簡単であることを願っています)
.ssh/unknown_hostsファイルから両方のシステムを削除しました(そして、どちらのIPもどこにもリストされていないことを確認しました)が、どちらか一方にSSHで接続すると、元の名前のIPが表示されます。他のシステムは問題なく動作しますが、古い情報がまだ残っているキャッシュがどこかにあるようです。
問題を解決するために、known_hostsファイルを完全にクリアし、システムを再起動しましたが、うまくいきませんでした。
何かアイデアはありますか?私は困惑しています!これは私のシステムでのみ発生しており、他の誰も問題を抱えていません。
更新:ファイルから問題のあるキーをすでに削除しました。また、known_hostsファイルを完全に消去しました。それはまだ起こります。 .sshの構成には、他のアカウントと何の違いもありません。また、.sshファイルのエラーである場合は、他のssh接続にも影響します。しかし、これと名前を交換した他のシステムでは、この問題は発生しません。正しく動作します。問題があるのは2つのシステムのうちの1つだけです。この変更以降、ボックスは2回リロードされています。だから私はそれがサーバー自体ではないことを知っています。
私の同僚も同じ箱で同じ問題を抱えていることがわかりました。そして、この1つのボックスだけ。
では、DNSゾーンファイルが正しい場合、これはどこから来ているのでしょうか?この変更に関係するどちらのシステムにも、古い情報は含まれていません。 DNSはきれいに見えます。私たちのアカウントは古い情報を参照していません。 tracertは、ping、sshのように、名前付きの古いIPを表示します。ただし、順方向または逆方向を使用したnslookupは正しく戻ります。ちょっとイライラする。
不明なホストの標準メッセージが表示されているようです。既知のhostsファイルからキーを削除したので、これは予想されます。キーを受け入れる場合、同じホストへの今後の接続についてプロンプトが表示されないようにする必要があります。
sshがアドレスを暗号化している場合、SSHは2つのキーを保持します。1つはIPで、もう1つは名前で保持します。 IPアドレスを削除してみてください。 PriceChildが指摘しているように、known_hostsファイルの問題のある行を指定するメッセージが表示されるはずです。 ssh-keygen -R yyおよびssh-keygen -R xxを使用して、既知のhostsファイルからIPアドレスを削除してみてください。
これは、ホストキーの検証に失敗した自分のssh接続の例です。
[user@Host path]$ ssh hostname
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: POSSIBLE DNS SPOOFING DETECTED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
The RSA Host key for pricey-Host has changed,
and the key for the according IP address 192.168.32.21
is unchanged. This could either mean that
DNS SPOOFING is happening or the IP address for the Host
and its Host key have changed at the same time.
Offending key for IP in /home/nagios/.ssh/known_hosts:4
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE Host IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA Host key has just been changed.
The fingerprint for the RSA key sent by the remote Host is
2e:61:87:cd:e6:e0:08:72:84:ea:80:56:19:12:62:89.
Please contact your system administrator.
Add correct Host key in /home/nagios/.ssh/known_hosts to get rid of this message.
Offending key in /home/nagios/.ssh/known_hosts:15
RSA Host key for pricey-Host has changed and you have requested strict checking.
Host key verification failed.
重要な行は '/home/nagios/.ssh/known_hosts:15の問題のあるキー'正確なファイルと行番号を示します。このメッセージが表示されませんか?
上記と同じでない場合は、おそらくexactエラーを投稿して、答えを絞り込み、おそらくssh-vを提案します。
これがあなたの問題の解決策です:
-Rオプションを使用して、hostnameに属するすべてのキーをknown_hostsファイルから削除します。このオプションは、ハッシュされたホストを削除するのに役立ちます。もしあなたの
remote hostname is server.example.com, enter:
$ ssh-keygen -R {server.name.com}
$ ssh-keygen -R {ssh.server.ip.address}
$ ssh-keygen -R server.example.com**strong text**
Sample output:
/home/vivek/.ssh/known_hosts updated.
Original contents retained as /home/vivek/.ssh/known_hosts.old
詳細については、このリンクも確認してください。 SSHホストキー変更エラー
Nagios3によって監視されているサーバーの1つのIPアドレスを変更した後、同じ問題が発生しました。nagiosユーザーには.sshフォルダーがないため、削除するknown_hostsがありません...これはdebianで行われます。
したがって、解決策は非常に単純であることが判明しました。監視しようとしているサーバーに移動し、nrpeサーバーを再起動するだけです。debianでは次のようにします。
/etc/init.d/nagios-nrpe-server restart
そして、それはすぐに問題を解決しました。