আমি কি স্বয়ংক্রিয়ভাবে পরিচিত_হোস্টগুলিতে একটি নতুন হোস্ট যুক্ত করতে পারি?

এখানে আমার পরিস্থিতি: আমি একটি পরীক্ষার জোতা স্থাপন করছি যা একটি কেন্দ্রীয় ক্লায়েন্টের কাছ থেকে, বেশ কয়েকটি ভার্চুয়াল মেশিন ইনস্ট্যান্স চালু করবে এবং তারপরে তাদের উপর আদেশগুলি কার্যকর করবে ssh। ভার্চুয়াল মেশিনগুলির পূর্বে অব্যবহৃত হোস্ট-নেম এবং আইপি ঠিকানা থাকবে, সুতরাং সেগুলি ~/.ssh/known_hostsকেন্দ্রীয় ক্লায়েন্টের ফাইলে থাকবে না ।

আমার যে সমস্যাটি হচ্ছে তা হ'ল sshনতুন ভার্চুয়াল দৃষ্টান্তের বিরুদ্ধে প্রথম কমান্ডটি সর্বদা একটি ইন্টারেক্টিভ প্রম্পট নিয়ে আসে:

The authenticity of host '[hostname] ([IP address])' can't be established.
RSA key fingerprint is [key fingerprint].
Are you sure you want to continue connecting (yes/no)?

এমন কোনও উপায় আছে যা আমি এটিকে বাইপাস করে নতুন হোস্টটিকে ক্লায়েন্ট মেশিনের কাছে ইতিমধ্যে পরিচিত করতে পারি, সম্ভবত কোনও ভার্চুয়াল মেশিনের ইমেজে বেকড পাবলিক কী ব্যবহার করে? আমি প্রত্যাশা ব্যবহার করতে না পারলে বা আমি যদি পারি তবে ইন্টারেক্টিভ প্রম্পটের উত্তর দেওয়া যাই হোক না কেন তা এড়াতে চাই।

কনফিগার ফাইলে বা এর মাধ্যমে StrictHostKeyCheckingবিকল্প সেট noকরুন -o:

ssh -o StrictHostKeyChecking=no username@hostname.com

আইএমও, এটি করার সর্বোত্তম উপায়টি হল:

ssh-keygen -R [hostname]
ssh-keygen -R [ip_address]
ssh-keygen -R [hostname],[ip_address]
ssh-keyscan -H [hostname],[ip_address] >> ~/.ssh/known_hosts
ssh-keyscan -H [ip_address] >> ~/.ssh/known_hosts
ssh-keyscan -H [hostname] >> ~/.ssh/known_hosts

এটি নিশ্চিত করবে যে কোনও নকল প্রবেশ নেই, আপনি হোস্টনাম এবং আইপি ঠিকানা উভয়ের জন্যই আচ্ছাদিত এবং আউটপুটও হ্যাশ করবে, একটি অতিরিক্ত সুরক্ষা ব্যবস্থা।

অলসদের জন্য:

ssh-keyscan -H <host> >> ~/.ssh/known_hosts

-H হোস্ট-নেম / আইপি ঠিকানা হ্যাশ করে

যেমনটি উল্লেখ করা হয়েছে, কী-স্ক্যান ব্যবহার করা হ'ল এটি করার সঠিক এবং আপত্তিজনক উপায়।

ssh-keyscan -t rsa,dsa HOST 2>&1 | sort -u - ~/.ssh/known_hosts > ~/.ssh/tmp_hosts
mv ~/.ssh/tmp_hosts ~/.ssh/known_hosts

উপরোক্ত একটি হোস্ট যুক্ত করার কৌশলটি করবে, কেবল এটি যুক্ত করা না থাকলে কেবল। এটি নিরাপদ নয়; আপনি না একই সময়ে একাধিকবার একই উৎপত্তি মেশিনে স্নিপেট চালানো, যেমন tmp_hosts ফাইল, clobbered পেতে পারেন পরিণামে স্ফীত হয়ে উঠছে known_hosts ফাইল নেতৃস্থানীয় ...

আপনি ssh-keyscanপাবলিক কী দখল করতে এবং আপনার known_hostsফাইলটিতে এটি যুক্ত করতে কমান্ডটি ব্যবহার করতে পারেন ।

এভাবেই আপনি আপনার খেলার সাথে ssh-keycan অন্তর্ভুক্ত করতে পারেন :

---
# ansible playbook that adds ssh fingerprints to known_hosts
- hosts: all
  connection: local
  gather_facts: no
  tasks:
  - command: /usr/bin/ssh-keyscan -T 10 {{ ansible_host }}
    register: keyscan
  - lineinfile: name=~/.ssh/known_hosts create=yes line={{ item }}
    with_items: '{{ keyscan.stdout_lines }}'

এটি একটি সম্পূর্ণ সমাধান হবে, কেবল প্রথমবারের জন্য হোস্ট কী গ্রহণ করবে

#!/usr/bin/env ansible-playbook
---
- name: accept ssh fingerprint automatically for the first time
  hosts: all
  connection: local
  gather_facts: False

  tasks:
    - name: "check if known_hosts contains server's fingerprint"
      command: ssh-keygen -F {{ inventory_hostname }}
      register: keygen
      failed_when: keygen.stderr != ''
      changed_when: False

    - name: fetch remote ssh key
      command: ssh-keyscan -T5 {{ inventory_hostname }}
      register: keyscan
      failed_when: keyscan.rc != 0 or keyscan.stdout == ''
      changed_when: False
      when: keygen.rc == 1

    - name: add ssh-key to local known_hosts
      lineinfile:
        name: ~/.ssh/known_hosts
        create: yes
        line: "{{ item }}"
      when: keygen.rc == 1
      with_items: '{{ keyscan.stdout_lines|default([]) }}'

আমার অনুরূপ সমস্যা ছিল এবং দেখা গেছে যে সরবরাহিত উত্তরগুলির মধ্যে কিছু আমাকে কেবল একটি স্বয়ংক্রিয় সমাধানের অংশ হিসাবে পেয়েছে। নিম্নলিখিতটি আমি ব্যবহার করে শেষ করেছি, আশা করি এটি সহায়তা করে:

ssh -o "StrictHostKeyChecking no" -o PasswordAuthentication=no 10.x.x.x

এটি কীটি যুক্ত করে known_hostsএবং পাসওয়ার্ডের জন্য প্রম্পট করে না।

সুতরাং, আমি নীচে প্রদর্শিত হিসাবে গিট রেপো ক্লোনিংয়ের অচেতন হোস্ট ম্যানুয়াল মিথস্ক্রিয়াকে বাইপাস করার একটি জাগতিক উপায় অনুসন্ধান করছিলাম:

brad@computer:~$ git clone git@bitbucket.org:viperks/viperks-api.git
Cloning into 'viperks-api'...
The authenticity of host 'bitbucket.org (104.192.143.3)' can't be established.
RSA key fingerprint is 97:8c:1b:f2:6f:14:6b:5c:3b:ec:aa:46:46:74:7c:40.
Are you sure you want to continue connecting (yes/no)?

আরএসএ কী ফিঙ্গারপ্রিন্ট নোট করুন ...

সুতরাং এটি একটি এসএসএইচ জিনিস, এটি এসএসএইচ গিটের জন্য কাজ করবে এবং সাধারণভাবে এসএসএইচ সম্পর্কিত জিনিসগুলি ...

brad@computer:~$ nmap bitbucket.org --script ssh-hostkey

Starting Nmap 7.01 ( https://nmap.org ) at 2016-10-05 10:21 EDT
Nmap scan report for bitbucket.org (104.192.143.3)
Host is up (0.032s latency).
Other addresses for bitbucket.org (not scanned): 104.192.143.2 104.192.143.1 2401:1d80:1010::150
Not shown: 997 filtered ports
PORT    STATE SERVICE
22/tcp  open  ssh
| ssh-hostkey:
|   1024 35:ee:d7:b8:ef:d7:79:e2:c6:43:9e:ab:40:6f:50:74 (DSA)
|_  2048 97:8c:1b:f2:6f:14:6b:5c:3b:ec:aa:46:46:74:7c:40 (RSA)
80/tcp  open  http
443/tcp open  https

Nmap done: 1 IP address (1 host up) scanned in 42.42 seconds

প্রথমে আপনার প্রতিদিনের ড্রাইভারে এনএম্যাপ ইনস্টল করুন। খোলা বন্দর সনাক্তকরণ এবং এটি - এসএসএইচ ফিঙ্গারপ্রিন্টগুলি ম্যানুয়ালি যাচাই করার জন্য এনএম্যাপ নির্দিষ্ট কিছু জিনিসের জন্য অত্যন্ত সহায়ক। কিন্তু, আমরা যা করছি তা ফিরে।

ভাল. আমি হয় একাধিক জায়গাগুলি এবং মেশিনগুলিতে যাচাই করেছিলাম সেগুলি নিয়ে আপস করছি - বা সব কিছুরই ক্ষুধার্ত হ'ল এর বিশদ ব্যাখ্যা যা ঘটছে তা হ'ল।

সেই 'ফিঙ্গারপ্রিন্ট' হ'ল একই আঙুলের ছাপে একাধিক স্ট্রিংয়ের সমাধানের ঝুঁকিতে আমাদের মানুষের সুবিধার্থে একতরফা অ্যালগরিদম দিয়ে ছোট করা একটি স্ট্রিং। এটি ঘটে, তাদের সংঘর্ষ বলা হয়।

নির্বিশেষে, মূল স্ট্রিংয়ে ফিরে যান যা আমরা নীচে প্রসঙ্গে দেখতে পারি।

brad@computer:~$ ssh-keyscan bitbucket.org
# bitbucket.org SSH-2.0-conker_1.0.257-ce87fba app-128
no hostkey alg
# bitbucket.org SSH-2.0-conker_1.0.257-ce87fba app-129
bitbucket.org ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAubiN81eDcafrgMeLzaFPsw2kNvEcqTKl/VqLat/MaB33pZy0y3rJZtnqwR2qOOvbwKZYKiEO1O6VqNEBxKvJJelCq0dTXWT5pbO2gDXC6h6QDXCaHo6pOHGPUy+YBaGQRGuSusMEASYiWunYN0vCAI8QaXnWMXNMdFP3jHAJH0eDsoiGnLPBlBp4TNm6rYI74nMzgz3B9IikW4WVK+dc8KZJZWYjAuORU3jc1c/NPskD2ASinf8v3xnfXeukU0sJ5N6m5E8VLjObPEO+mN2t/FZTMZLiFqPWc/ALSqnMnnhwrNi2rbfg/rd/IpL8Le3pSBne8+seeFVBoGqzHM9yXw==
# bitbucket.org SSH-2.0-conker_1.0.257-ce87fba app-123
no hostkey alg

সুতরাং, সময়ের আগে, আমাদের কাছে মূল হোস্টের কাছ থেকে একটি ফর্ম সনাক্ত করার উপায় রয়েছে।

এই মুহুর্তে আমরা ম্যানুয়ালি স্বয়ংক্রিয়ভাবে যতটা ঝুঁকির মধ্যে আছি - তারে মেলে, আমাদের কাছে বেস ডেটা রয়েছে যা আঙুলের ছাপ তৈরি করে, এবং আমরা ভবিষ্যতে সেই বেস ডেটা (সংঘর্ষ রোধে) জিজ্ঞাসা করতে পারি।

এখন সেই স্ট্রিংটি এমনভাবে ব্যবহার করা যাতে কোনও হোস্টের সত্যতা সম্পর্কে জিজ্ঞাসা করা যায় ...

এই ক্ষেত্রে জ্ঞাত_হোস্টস ফাইলটি সাদামাটা এন্ট্রি ব্যবহার করে না। আপনি হ্যাশ এন্ট্রিগুলি দেখলে তাদের জানবেন, তারা xyz.com বা 123.45.67.89 এর পরিবর্তে এলোমেলো অক্ষরযুক্ত হ্যাশগুলির মতো দেখায়।

brad@computer:~$ ssh-keyscan -t rsa -H bitbucket.org
# bitbucket.org SSH-2.0-conker_1.0.257-ce87fba app-128
|1|yr6p7i8doyLhDtrrnWDk7m9QVXk=|LuKNg9gypeDhfRo/AvLTAlxnyQw= ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAubiN81eDcafrgMeLzaFPsw2kNvEcqTKl/VqLat/MaB33pZy0y3rJZtnqwR2qOOvbwKZYKiEO1O6VqNEBxKvJJelCq0dTXWT5pbO2gDXC6h6QDXCaHo6pOHGPUy+YBaGQRGuSusMEASYiWunYN0vCAI8QaXnWMXNMdFP3jHAJH0eDsoiGnLPBlBp4TNm6rYI74nMzgz3B9IikW4WVK+dc8KZJZWYjAuORU3jc1c/NPskD2ASinf8v3xnfXeukU0sJ5N6m5E8VLjObPEO+mN2t/FZTMZLiFqPWc/ALSqnMnnhwrNi2rbfg/rd/IpL8Le3pSBne8+seeFVBoGqzHM9yXw==

প্রথম মন্তব্যের রেখাটি উত্সাহজনকভাবে দেখায় - তবে আপনি ">" বা ">>" কনভেনশনের মাধ্যমে একটি সাধারণ পুনর্নির্দেশের সাহায্যে এ থেকে মুক্তি পেতে পারেন।

যেহেতু আমি "হোস্ট" এবং বিশ্বাস সনাক্ত করতে অবিযুক্ত ডেটা প্রাপ্ত করার জন্য যথাসাধ্য চেষ্টা করেছি, তাই আমি আমার _ / .ssh ডিরেক্টরিতে আমার পরিচিত_হোস্ট ফাইলটিতে এই সনাক্তকরণটি যুক্ত করব। যেহেতু এটি এখন একটি পরিচিত হোস্ট হিসাবে চিহ্নিত হবে, তাই আপনি যখন তরুণ ছিলেন তখন আমি উপরে উল্লিখিত প্রম্পটটি পাব না।

আমার সাথে লেগে থাকার জন্য ধন্যবাদ, আপনি এখানে যান। আমি বিটবাকেট আরএসএ কী যুক্ত করছি যাতে আমি আমার গিট সংগ্রহস্থলগুলির সাথে সিআই ওয়ার্কফ্লোয়ের অংশ হিসাবে একটি ইন্টারঅ্যাক্টিভ পদ্ধতিতে ইন্টারেক্ট করতে পারি তবে আপনি যা চান তা করুন do

#!/bin/bash
cp ~/.ssh/known_hosts ~/.ssh/known_hosts.old && echo "|1|yr6p7i8doyLhDtrrnWDk7m9QVXk=|LuKNg9gypeDhfRo/AvLTAlxnyQw= ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAubiN81eDcafrgMeLzaFPsw2kNvEcqTKl/VqLat/MaB33pZy0y3rJZtnqwR2qOOvbwKZYKiEO1O6VqNEBxKvJJelCq0dTXWT5pbO2gDXC6h6QDXCaHo6pOHGPUy+YBaGQRGuSusMEASYiWunYN0vCAI8QaXnWMXNMdFP3jHAJH0eDsoiGnLPBlBp4TNm6rYI74nMzgz3B9IikW4WVK+dc8KZJZWYjAuORU3jc1c/NPskD2ASinf8v3xnfXeukU0sJ5N6m5E8VLjObPEO+mN2t/FZTMZLiFqPWc/ALSqnMnnhwrNi2rbfg/rd/IpL8Le3pSBne8+seeFVBoGqzHM9yXw==" >> ~/.ssh/known_hosts

সুতরাং, এইভাবে আপনি আজকের জন্য কুমারী থাকবেন। আপনি নিজের সময়ে অনুরূপ নির্দেশনা অনুসরণ করে গিথুব দিয়েও এটি করতে পারেন।

আমি অনেকগুলি স্ট্যাক ওভারফ্লো পোস্ট দেখেছি যা আপনাকে কোনও ধরণের চেকিং ছাড়াই প্রোগ্রামালিমে কীটি অন্ধভাবে যুক্ত করতে বলছে add আপনি বিভিন্ন নেটওয়ার্কে বিভিন্ন মেশিন থেকে কীটি যত বেশি চেক করবেন, তত বেশি আস্থা রাখতে পারেন যে হোস্ট যাকে বলেছে তা হল - এবং এটিই সুরক্ষার এই স্তরটি থেকে আশা করতে পারেন best

ভুল ssh -oStrictHostKeyChecking = হোস্টনাম নেই [কমান্ড]

ভুল ssh-keycan -t rsa -H হোস্টনেম >> ~ / .ssh / ज्ञात_হোস্টস

দয়া করে উপরের যে কোনও একটি কাজ করবেন না। আপনাকে মধ্যের আক্রমণে থাকা কোনও ব্যক্তির মাধ্যমে আপনার ডেটা স্থানান্তর নিয়ে কেউ এড়িয়ে যাওয়ার সম্ভাবনা বাড়ানোর সুযোগ দেওয়া হয়েছে - সেই সুযোগটি গ্রহণ করুন। পার্থক্যটি আক্ষরিকভাবে যাচাই করছে যে আপনার কাছে থাকা আরএসএ কী হ'ল বোনা ফাইড সার্ভারের মধ্যে একটি এবং এখন আপনি কীভাবে সেই তথ্যটি তুলনা করার জন্য পান যাতে আপনি সংযোগটিতে বিশ্বাস রাখতে পারেন। শুধু মনে রাখবেন বিভিন্ন কম্পিউটার এবং নেটওয়ার্কের আরও তুলনা সাধারণত সংযোগটি বিশ্বাস করার আপনার ক্ষমতা বাড়িয়ে তুলবে।

আমি এক-লাইনের স্ক্রিপ্ট করি, একটি বিট দীর্ঘ কিন্তু দরকারী ব্যবহার গুণিতক আইপিগুলি সঙ্গে হোস্টের জন্য এই কাজের করতে, digএবংbash

(host=github.com; ssh-keyscan -H $host; for ip in $(dig @8.8.8.8 github.com +short); do ssh-keyscan -H $host,$ip; ssh-keyscan -H $ip; done) 2> /dev/null >> .ssh/known_hosts

নিম্নলিখিতগুলি ~ / .ssh / জ্ঞাত_হোস্টগুলিতে সদৃশ এন্ট্রিগুলি এড়ান:

if ! grep "$(ssh-keyscan github.com 2>/dev/null)" ~/.ssh/known_hosts > /dev/null; then
    ssh-keyscan github.com >> ~/.ssh/known_hosts
fi

আপনি এই মেশিনগুলি কীভাবে তৈরি করছেন? আপনি একটি ডিএনএস আপডেট স্ক্রিপ্ট চালাতে পারেন? আপনি কি একটি আইপিএ ডোমেনে যোগদান করতে পারেন?

ফ্রিআইপিএ এটি স্বয়ংক্রিয়ভাবে করে, তবে মূলত আপনার যা যা দরকার তা হ'ল আপনার অঞ্চলের এসএসএইচএফপি ডিএনএস রেকর্ড এবং ডিএনএসএসইসি (ফ্রিপা কনফিগারযোগ্য বিকল্প হিসাবে সরবরাহ করে (ডিএনএসএফ ডিফল্ট দ্বারা অক্ষম))।

আপনি চালিয়ে আপনার হোস্ট থেকে বিদ্যমান এসএসএইচএফপি রেকর্ডগুলি পেতে পারেন।

ssh-keygen -r jersey.jacobdevans.com

jersey.jacobdevans.com SSHFP জনের মধ্যে 1 জন 1 4d8589de6b1a48e148d8fc9fbb967f1b29f53ebc jersey.jacobdevans.com SSHFP 1 2 6503272a11ba6d7fec2518c02dfed88f3d455ac7786ee5dbd72df63307209d55 jersey.jacobdevans.com SSHFP 3 1 5a7a1e8ab8f25b86b63c377b303659289b895736> jersey.jacobdevans.com SSHFP 3 2 1f50f790117dfedd329dbcf622a7d47551e12ff5913902c66a7da28e47de4f4b

তারপরে একবার প্রকাশিত হয়ে গেলে আপনি নিজের VerifyHostKeyDNS yesssh_config বা ~ / .ssh / config এ যুক্ত করতে পারেন

যদি / যখন ডিএনএসএসইসি-তে গুগল ফ্লিপ করার সিদ্ধান্ত নেয়, আপনি হোস্টকি প্রম্পট ছাড়াই প্রবেশ করতে পারেন।

ssh jersey.jacobdevans.com

তবে আমার ডোমেনটি এখনও স্বাক্ষরিত হয়নি, আপাতত আপনি দেখতে পাবেন ....

ডিবাগ 1: সার্ভার হোস্ট কী: ecdsa-sha2-nistp256 SHA256: H1D3kBF9 / t0ynbz2IqfUdVHhL / WROQLGan2ijkfeT0s

ডিবাগ 1: ডিএনএসে 4 টি সুরক্ষিত ফিঙ্গারপ্রিন্ট খুঁজে পেয়েছে

ডিবাগ 1: হোস্ট কী আঙ্গুলের ছাপ মিলছে matching

ডিএনএস-এ পাওয়া গেছে হোস্ট 'jersey.jacobdevans.com (2605: 6400: 10: 434 :: 10)' এর সত্যতা প্রতিষ্ঠিত হতে পারে না। ইসিডিএসএ-র কী ফিঙ্গারপ্রিন্টটি SHA256: H1D3kBF9 / t0ynbz2IqfUdVHhL / WROQLGan2ijkfeT0s। ডিএনএস-এ মিলছে হোস্ট কী আঙ্গুলের ছাপ। আপনি কি নিশ্চিত যে সংযোগ চালিয়ে যেতে চান (হ্যাঁ / না)? না

এটি সঠিকভাবে করতে, আপনি যা করতে চান তা হ'ল ভিএমএসের হোস্ট পাবলিক কীগুলি তৈরি করার সাথে সাথে সেগুলি তৈরি করে known_hostsফর্ম্যাটে কোনও ফাইলে রেখে দিন । তারপরে -o GlobalKnownHostsFile=...আপনি সেই ফাইলটি নির্দেশ করে , যে হোস্টের সাথে সংযোগ করছেন আপনার বিশ্বাস যে আপনাকে সংযুক্ত করা উচিত তা নিশ্চিত করতে আপনি এটি ব্যবহার করতে পারেন। আপনি কীভাবে এটি করেন তা নির্ভর করে আপনি ভার্চুয়াল মেশিনগুলি কীভাবে সেটআপ করছেন তার উপর নির্ভর করে তবে এটি সম্ভব হলে ভার্চুয়াল ফাইল সিস্টেমটি পড়া বা /etc/ssh/ssh_host_rsa_key.pubকনফিগারেশন চলাকালীন সামগ্রীগুলি মুদ্রণের জন্য হোস্টকে পাওয়া কৌশলটি করতে পারে।

এটি বলেছিল, আপনি কোন পরিবেশে কাজ করছেন এবং আপনার প্রত্যাশিত শত্রুরা কারা আছেন তার উপর নির্ভর করে এটি উপযুক্ত হবে না। উপরের অন্যান্য বেশ কয়েকটি উত্তরে বর্ণিত হিসাবে একটি সাধারণ "প্রথম সংযোগে প্রথম" (একটি স্ক্যানের মাধ্যমে বা কেবল প্রথম "বাস্তব" সংযোগের সময়) করা যথেষ্ট সহজ হতে পারে এবং এখনও সুরক্ষার কিছুটা মডিকাম সরবরাহ করতে পারে। তবে আপনি যদি এটি করেন তবে আমি দৃ strongly়ভাবে আপনাকে পরামর্শ দিচ্ছি যে আপনি ব্যবহারকারী নির্দিষ্ট হোস্ট ফাইল ( -o UserKnownHostsFile=...) এই নির্দিষ্ট পরীক্ষার ইনস্টলেশনের জন্য নির্দিষ্ট কোনও ফাইলে পরিবর্তন করুন ; এটি পরীক্ষার তথ্য সহ আপনার ব্যক্তিগত পরিচিত হোস্ট ফাইলকে দূষিত করা এড়াতে পারবেন এবং আপনি যখন আপনার ভিএমগুলি মুছবেন তখন এখন অকেজো পাবলিক কীগুলি পরিষ্কার করা সহজ করে দেবে।

এই পুরো

• SSH কী-স্ক্যান
• SSH-অনুলিপি-আইডি
• ইসিএসডিএ কী সতর্কতা

ব্যবসায় আমাকে বিরক্ত করে চলেছে তাই আমি বেছে নিয়েছি

তাদের সমস্ত শাসন করার জন্য একটি স্ক্রিপ্ট

এটি লুপটিতে আমাদু বাহের উত্তর https://serverfault.com/a/858957/162693 সহ https://askubuntu.com/a/949731/129227 এ স্ক্রিপ্টটির বৈকল্পিক ।

উদাহরণ কল

./sshcheck somedomain site1 সাইট2 সাইট3

স্ক্রিপ্টটি নামগুলির সাইটগুলি লুপ করবে এবং .ssh / কনফিগারেশন এবং .ssh / ज्ञात_হোস্ট ফাইলটি সংশোধন করবে এবং অনুরোধে এসএসএস-কপি-আইডি করবে - শেষ বৈশিষ্ট্যের জন্য কেবল এসএসএস পরীক্ষার কলগুলি ব্যর্থ হওয়া যাক যেমন 3 বার প্রবেশ করে হিট করে fail পাসওয়ার্ড অনুরোধ।

sshcheck স্ক্রিপ্ট

#!/bin/bash
# WF 2017-08-25
# check ssh access to bitplan servers

#ansi colors
#http://www.csc.uvic.ca/~sae/seng265/fall04/tips/s265s047-tips/bash-using-colors.html
blue='\033[0;34m'  
red='\033[0;31m'  
green='\033[0;32m' # '\e[1;32m' is too bright for white bg.
endColor='\033[0m'

#
# a colored message 
#   params:
#     1: l_color - the color of the message
#     2: l_msg - the message to display
#
color_msg() {
  local l_color="$1"
  local l_msg="$2"
  echo -e "${l_color}$l_msg${endColor}"
}

#
# error
#
#   show an error message and exit
#
#   params:
#     1: l_msg - the message to display
error() {
  local l_msg="$1"
  # use ansi red for error
  color_msg $red "Error: $l_msg" 1>&2
  exit 1
}

#
# show the usage
#
usage() {
  echo "usage: $0 domain sites"
  exit 1 
}

#
# check known_hosts entry for server
#
checkknown() {
  local l_server="$1"
  #echo $l_server
  local l_sid="$(ssh-keyscan $l_server 2>/dev/null)" 
  #echo $l_sid
  if (! grep "$l_sid" $sknown) > /dev/null 
  then
    color_msg $blue "adding $l_server to $sknown"
    ssh-keyscan $l_server >> $sknown 2>&1
  fi
}

#
# check the given server
#
checkserver() {
  local l_server="$1"
  grep $l_server $sconfig > /dev/null
  if [ $? -eq 1 ]
  then
    color_msg $blue "adding $l_server to $sconfig"
    today=$(date "+%Y-%m-%d")
    echo "# added $today by $0"  >> $sconfig
    echo "Host $l_server" >> $sconfig
    echo "   StrictHostKeyChecking no" >> $sconfig
    echo "   userKnownHostsFile=/dev/null" >> $sconfig
    echo "" >> $sconfig
    checkknown $l_server
  else
    color_msg $green "$l_server found in $sconfig"
  fi
  ssh -q $l_server id > /dev/null
  if [ $? -eq 0 ]
  then
    color_msg $green "$l_server accessible via ssh"
  else
    color_msg $red "ssh to $l_server failed" 
    color_msg $blue "shall I ssh-copy-id credentials to $l_server?"
    read answer
    case $answer in
      y|yes) ssh-copy-id $l_server
    esac
  fi
}

#
# check all servers
#
checkservers() {
me=$(hostname -f)
for server in $(echo $* | sort)
do
  os=`uname`
  case $os in
   # Mac OS X
   Darwin*)
     pingoption=" -t1";;
    *) ;;
  esac

  pingresult=$(ping $pingoption -i0.2 -c1 $server)
  echo $pingresult | grep 100 > /dev/null
  if [ $? -eq 1 ]
  then 
    checkserver $server
    checkserver $server.$domain
  else
    color_msg $red "ping to $server failed"
  fi
done
}

#
# check configuration
#
checkconfig() {
#https://askubuntu.com/questions/87449/how-to-disable-strict-host-key-checking-in-ssh
  if [ -f $sconfig ]
  then
    color_msg $green "$sconfig exists"
    ls -l $sconfig
  fi
}

sconfig=~/.ssh/config
sknown=~/.ssh/known_hosts

case  $# in
  0) usage ;;
  1) usage ;;
  *) 
    domain=$1 
    shift 
    color_msg $blue "checking ssh configuration for domain $domain sites $*"
    checkconfig
    checkservers $* 
    #for server in $(echo $* | sort)
    ##do
    #  checkknown $server 
    #done
    ;;
esac

হোস্টের সংগ্রহ কীভাবে করবেন তা এখানে

হোস্টের সংগ্রহ সংজ্ঞায়িত করুন

ssh_hosts:
  - server1.domain.com
  - server2.domain.com
  - server3.domain.com
  - server4.domain.com
  - server5.domain.com
  - server6.domain.com
  - server7.domain.com
  - server8.domain.com
  - server9.domain.com

তারপরে পরিচিত হোস্টগুলিতে কীগুলি যুক্ত করতে দুটি কার্য সংজ্ঞা দিন:

- command: "ssh-keyscan {{item}}"
   register: known_host_keys
   with_items: "{{ssh_hosts}}"
   tags:
     - "ssh"

 - name: Add ssh keys to know hosts
   known_hosts:
     name: "{{item.item}}"
     key: "{{item.stdout}}"
     path: ~/.ssh/known_hosts
   with_items: "{{known_host_keys.results}}"

সেরা আপনি প্রতিটি নতুন সার্ভার / হোস্টের ফিঙ্গারপ্রিন্ট পরীক্ষা করতে পারেন। এটি সার্ভারের অনুমোদনের একমাত্র উপায়। এটি ছাড়াই, আপনার এসএসএইচ সংযোগটি মাঝারি-মধ্যবর্তী আক্রমণটির শিকার হতে পারে ।

যদি আপনি সত্যই নিশ্চিত হন যে আপনি আঙুলের ছাপটি যাচাই করতে চান না, তবে দ্বিতীয় সেরা, কম সুরক্ষিত বিকল্পটি হ'ল StrictHostKeyChecking=accept-new, যা ওপেনএসএসএইচ সংস্করণ 7.6 (2017-10-03) এ চালু হয়েছিল :

প্রথম "গ্রাহক-নতুন" স্বয়ংক্রিয়ভাবে এখন পর্যন্ত অদেখা কীগুলি গ্রহণ করবে তবে পরিবর্তিত বা অবৈধ হোস্টকিগুলির সংযোগ প্রত্যাখ্যান করবে।

পুরানো মান ব্যবহার করবেন নাStrictHostKeyChecking=no যা সার্ভারের সত্যতা কখনই পরীক্ষা করে না । (যদিও এই =noসেটিংটির অর্থ পরে কিছু প্রকাশিত হবে ))