搜索
搜索

单个DNS名称后的许多主机的SSH密钥验证

debugcn 发表于 Dev
3
ru

(注意:这似乎与现有问题类似,但我相信此处的实现细节有所不同)

问题

我在单个DNS地址后面有几百台主机。每个主机都有自己的单独主机密钥(我不能更改它-它由供应商设置,不能修改)。

当我第二次尝试通过单个名称连接到任何主机时,这ssh很令人不安:

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@       WARNING: POSSIBLE DNS SPOOFING DETECTED!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
The DSA host key for (hostname) has changed,
and the key for the corresponding IP address 192.168.0.100
is unknown. This could either mean that
DNS SPOOFING is happening or the IP address for the host
and its host key have changed at the same time.
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the DSA key sent by the remote host is
SHA256:+38sJSsANknk6vVIHJ/l/xnPCl+ALCNrbi80vrr24cM.
Please contact your system administrator.
Add correct host key in /Users/me/.ssh/known_hosts to get rid of this message.
Offending DSA key in /Users/me/.ssh/known_hosts:291
Password authentication is disabled to avoid man-in-the-middle attacks.
Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks.
X11 forwarding is disabled to avoid man-in-the-middle attacks.
Permission denied (publickey,password,keyboard-interactive).

难点

  • 我不能将所有主机密钥都设置为相同的内容。
  • 连接到单个IP地址不是一个很好的解决方法,因为这不是实际的“轮询”,而是由将连接路由到最不繁忙的服务器的硬件提供的DNS服务。
  • 我的用户以及某些自动化过程必须能够命中单个DNS名称。

问题

在此环境中安全使用SSH(即尽可能完整地进行验证)的最佳实践是什么?

由于安全性原因,我不想禁用密钥验证,并且连接到单个IP地址的明显解决方法可以绕过供应商的DNS实施提供的负载平衡。

ky

您可以known_hosts使用来为所有IP预先生成ssh-keyscan然后在用户系统上将其设置为GlobalKnownHostsFile(只读),并对该特定hostname禁用UserKnownHostsFile设置(设置为/dev/null)。

我没有尝试过,但是它应该对IP感到满意,如果不能使用可以写known_hosts记录hostname

客户端示例/etc/ssh/ssh_config(也很好分发):

[...] # other stuff
Host dns_hostname
  GlobalKnownHostsFile /etc/ssh/known_hosts
  UserKnownHostsFile /dev/null

本文收集自互联网,转载请注明来源。

如有侵权,请联系[email protected] 删除。

编辑于
0

我来说两句

0条评论
登录后参与评论

相关文章

来自分类Dev

SSH“主机密钥验证失败”错误

来自分类Dev

忽略子网的SSH主机密钥验证

来自分类Dev

主机密钥验证失败,使用SSH

来自分类Dev

SSH连接问题,“主机密钥验证失败...”错误

来自分类Dev

在Java中验证SSH主机密钥格式

来自分类Dev

SSH连接问题,“主机密钥验证失败...”错误

来自分类Dev

单个主机的“伪” DNS

来自分类Dev

将用户的公共SSH密钥分发到许多主机的最佳方法?

来自分类Dev

将用户的公共SSH密钥分发到许多主机的最佳方法?

来自分类Dev

是否可以为同一IP允许多个SSH主机密钥?

来自分类Dev

如何在bash中ping许多主机(通过dns名称并解析为ip地址)?

来自分类Dev

由于ssh密钥,Git推送失败:主机密钥验证失败。从码头工人内部

来自分类Dev

无法通过ssh连接到主机:主机密钥验证失败

来自分类Dev

无法验证SSH密钥

来自分类Dev

“主机密钥验证失败”?

来自分类Dev

为什么“ yes yes | ssh hostname”不能自动对主机密钥身份验证回答yes?

来自分类Dev

从 Windows 命令提示符 ssh 时主机密钥验证失败?

来自分类Dev

如何避免对已知主机的SSH主机验证?

来自分类Dev

在许多主机上用PK创建许多ssh用户

来自分类Dev

主机密钥验证失败。#015

来自分类Dev

验证旧格式的主机密钥指纹

来自分类常见问题

使用Paramiko从SSH跳转主机加载密钥

来自分类Dev

在多个主机之间共享SSH密钥

来自分类Dev

SSH主机密钥不断变化

来自分类Dev

使用Paramiko从SSH跳转主机加载密钥

来自分类Dev

SSH主机密钥不断变化

来自分类Dev

如何转换ssh主机密钥?

来自分类Dev

使用SSH密钥验证SSH连接

来自分类Dev

成功添加SSH密钥后,VScode继续询问身份验证

Related 相关文章

  1. 1

    SSH“主机密钥验证失败”错误

  2. 2

    忽略子网的SSH主机密钥验证

  3. 3

    主机密钥验证失败,使用SSH

  4. 4

    SSH连接问题,“主机密钥验证失败...”错误

  5. 5

    在Java中验证SSH主机密钥格式

  6. 6

    SSH连接问题,“主机密钥验证失败...”错误

  7. 7

    单个主机的“伪” DNS

  8. 8

    将用户的公共SSH密钥分发到许多主机的最佳方法?

  9. 9

    将用户的公共SSH密钥分发到许多主机的最佳方法?

  10. 10

    是否可以为同一IP允许多个SSH主机密钥?

  11. 11

    如何在bash中ping许多主机(通过dns名称并解析为ip地址)?

  12. 12

    由于ssh密钥,Git推送失败:主机密钥验证失败。从码头工人内部

  13. 13

    无法通过ssh连接到主机:主机密钥验证失败

  14. 14

    无法验证SSH密钥

  15. 15

    “主机密钥验证失败”?

  16. 16

    为什么“ yes yes | ssh hostname”不能自动对主机密钥身份验证回答yes?

  17. 17

    从 Windows 命令提示符 ssh 时主机密钥验证失败?

  18. 18

    如何避免对已知主机的SSH主机验证?

  19. 19

    在许多主机上用PK创建许多ssh用户

  20. 20

    主机密钥验证失败。#015

  21. 21

    验证旧格式的主机密钥指纹

  22. 22

    使用Paramiko从SSH跳转主机加载密钥

  23. 23

    在多个主机之间共享SSH密钥

  24. 24

    SSH主机密钥不断变化

  25. 25

    使用Paramiko从SSH跳转主机加载密钥

  26. 26

    SSH主机密钥不断变化

  27. 27

    如何转换ssh主机密钥?

  28. 28

    使用SSH密钥验证SSH连接

  29. 29

    成功添加SSH密钥后,VScode继续询问身份验证

热门标签

归档