এসএসএইচ একটি ঘন ঘন পরিবর্তিত আইপি সহ একটি বাক্সে

22

আমার কাছে কিছু ক্লাউড বক্স রয়েছে যা ঘন ঘন তাদের আইপি পরিবর্তন করে।

আমি হোস্ট-নেমটি ব্যবহার করছি তবে এই ত্রুটি বার্তার কারণে সার্ভারটি যতবার চালু হয় ততবার পরিচিত_হোস্ট ফাইলটি সম্পাদনা করতে হবে:

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is…

সুরক্ষা ঝুঁকি এবং আমি যা করতে চাই তার সাথে যুক্ত এমন কি, এই ত্রুটিটিকে উপেক্ষা করার জন্য বা পরিচিত_হোস্ট ফাইলটি স্বয়ংক্রিয়ভাবে ওভাররাইট করার কোনও উপায় আছে যা আমাকে নিজেরাই এডিট করতে হবে না?

— coneybeare
সূত্র

20

আপনার ssh_config ফাইল সম্পাদনা করুন এবং এই লাইন পরিবর্তন যুক্ত করুন:

CheckHostIP no

'হ্যাঁ' এর জন্য চেকহোস্টআইপি ডিফল্ট। এটি যা করে তা হ'ল যে ধরণের চেক আপনি ব্যর্থ করছেন do এটি বন্ধ করার অর্থ এটি কেবল নির্ভর করে যে আইপিটি পরিবর্তনশীল, এবং হোস্টনামের বিপরীতে কী-চেক করতে হবে।

— sysadmin1138
সূত্র

2

এটি আপনি যে কোনও সার্ভারের সাথে সংযোগ স্থাপন করবেন এমন সমস্ত সার্ভারের জন্য সুরক্ষা বৈশিষ্ট্যটি অক্ষম করে, যা অত্যন্ত খারাপ অভ্যাস। পরিবর্তে আপনার এই বিকল্পটি কেবলমাত্র একটি নির্দিষ্ট হোস্টের জন্যই ব্যবহার করা উচিত যা আপনি জানেন যে এই সমস্যাটি হবে - বা হোস্টকিএলিয়াস বিকল্পটি ব্যবহার করুন - আবার কোনও নির্দিষ্ট হোস্টের জন্য।

— zaTricky

@ জাজ ট্রিকি "চরম খারাপ অভ্যাস"? হুঁ এটা সম্পর্কে কি চরম? আমি মনে করি এটি প্রায় নিরাপদ, এটি কেবল স্বতন্ত্র পছন্দ। আপনি কেবল একটি হোস্টনামে (আইপি পরিবর্তে) একটি কী পিন করুন। Https- এর জন্য, এইচপিকেপি একইভাবে কাজ করে এবং প্রত্যেকে বলে যে এটি হয় নিরাপদ বা অতিরিক্ত সুরক্ষিত।

— kubanczyk

@কুবাঞ্জাইক এটি এটিকে বৈশ্বিক পরিবেশ তৈরি করতে বলছে - হোস্টকে নির্দিষ্ট করার বিষয়ে কোনও পরামর্শ নেই, যা আমি উল্লেখ করেছি

— zaTricky

25

সংযোজন: আপনি কেবল সেই নামের জন্য চেকহোস্টআইপি চেকটি অক্ষম করার চেষ্টা করতে পারেন :

Host *
  [ global settings .. ]

Host very.dynamic.host
  CheckHostIP no

— কোস ভ্যান ডেন হাউট
সূত্র

5

আইপি-চেকিং অক্ষম করার সুরক্ষা প্রভাব হ্রাস করার জন্য এটি সেরা বিকল্প।

— এস্পো

3

এখানে প্রচুর উত্তরগুলি কাজ করবে - তবে প্রযুক্তিগতভাবে সেগুলি কার্যকরী। OpenSSH- র ইতিমধ্যে একটি বিল্ট-ইন এই সঙ্গে বৈশিষ্ট্য মনে: HostKeyAlias।

আপনার .ssh / কনফিগারেশন ফাইলে HostKeyAlias <alias>একটি হোস্ট কনফিগারেশন যুক্ত করুন:

host myserver.example.com
HostKeyAlias myserver.example.com

এই জায়গা রেখে, সার্ভারে সংযোগ myserver.example.comহোস্ট-নেম ব্যবহার করবে না বা স্থানীয় রেফারেন্সের জন্য IP ঠিকানা - এটা সর্বদা হবে শুধুমাত্র যখন যে সার্ভারে সংযোগ দেওয়া HostKeyAlias ব্যবহার করুন। আমার জন্য এটি হোস্টনামটি ব্যবহার করা বোধগম্য - তবে আপনি অবশ্যই পছন্দসই কোনও নাম ব্যবহার করতে পারেন।

গতিশীল হোস্টগুলির জন্য আমার জন্য সাধারণ কনফিগারেশনগুলি এরকম:

host myserver
hostname myserver.dyn.example.com
HostKeyAlias myserver.private.example.com

এটি এমন কিছু অস্পষ্ট দৃশ্যেও ব্যবহার করা যেতে পারে যেখানে আপনি জানেন যে আপনার সার্ভারগুলির একটি গোছাতে একই হোস্ট কী রয়েছে (সাধারণত এটি হওয়া উচিত নয় )। এটি তখন সদৃশ এন্ট্রিগুলিকে আটকাতে পারে। ভবিষ্যতে, কীগুলি বৈধভাবে পরিবর্তিত হলে, আপনাকে একাধিক এন্ট্রি প্রতিস্থাপন / মুছতে হবে না। শুধুমাত্র একটি. গিটল্যাব জিও সার্ভারগুলি এর একটি ভাল উদাহরণ।

জ্ঞাত_হোস্ট ফাইল সাফ করার বিষয়ে, আমি বিশেষভাবে বাসি পরিচিত_হোস্টগুলির প্রবেশগুলি বজায় রাখা / মুছে ফেলার সাথে সম্পর্কিত অন্যান্য প্রশ্ন / উত্তরগুলি দেখার পরামর্শ দেব। উদাহরণস্বরূপ, আমার .ssh / known_hosts ফাইলটি কীভাবে পরিচালনা করবেন তা দেখুন ; আমি বিশেষত ব্যবহারকারীর ১৯৫৮৮৮ এর জবাব দ্বারা মুগ্ধ, যদিও আমি দেখতে পাচ্ছি যে এটির অনেকগুলি উত্স নেই (এখনও)। :)

— zaTricky
সূত্র

এটি দেখায় যে 8 বছর পরে উত্তরের উত্তর বনাম সঠিক উত্তরটির জন্য একই দিনে উত্তরের কতটা মূল্য রয়েছে।

— সমতা

2

আমি এই সমস্যাটি ঘিরে কাজ করার জন্য এই ছদ্মবেশী বিকল্পগুলি ব্যবহার করি। (আমার হোস্টের পাবলিক কীটি প্রায়শই পুনরায় জেনারেট হয় so সুতরাং এটি আইপি এবং কী চেকটি সরিয়ে দেয়)

ssh remoteServerName -l username -o "UserKnownHostsFile=/dev/null"

কী একইভাবে থাকলেও আইপি পরিবর্তিত হয় আপনি কেবল এটি ব্যবহার করতে পারেন:

ssh remoteServerName -l username -o "CheckHostIP=no"

— Zv_oDD
সূত্র

যদি আপনার সার্ভার হোস্ট কীগুলি প্রায়শই পরিবর্তন করে তবে আপনার হোস্ট-কী স্বাক্ষর স্থাপনের কথা বিবেচনা করা উচিত

— ক্যামেরন ট্যাকলাইন্ড

1

সতর্কতাটি উপেক্ষা করার জন্য আপনি আপনার এসএসএস ক্লায়েন্ট কনফিগারেশনে (যেমন মেশিনে ~ / ssh / কনফিগারেশন ফাইলটি সংযুক্ত করছেন) স্ট্রাইকহস্টকি চেকিং = সেট করতে পারেন ।

— hayalci
সূত্র

1

আপনি CheckHostIP noআপনার ~/.ssh/configফাইলটি রাখতে পারেন, তবে এটি আপনাকে স্পোফিং আক্রমণে উন্মুক্ত করে দেয়। আপনি যদি সে সম্পর্কে উদ্বিগ্ন না হন তবে এই সেটিংটি known_hostsচেক বন্ধ করে দেওয়া উচিত ।

— স্টিভেন সোমবার
সূত্র

0

known_hostsক্ষণস্থায়ী এডাব্লুএস মেশিনের সাথে সংযোগ করার সময় আমি আমার ফাইলে আঙুলের ছাপগুলি এড়াতে চাই । আমি যেমন একটি কমান্ড ব্যবহার

ssh -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no -i secret.pem ec2-user@10.0.0.5

তাদের সাথে সংযোগ স্থাপন করার জন্য। আপনি যদি মেশিনটি "পরিচিত হোস্টগুলির তালিকায় যোগ করতে চান" তবে এটি আপনাকে জিজ্ঞাসা করবে না 10.0.0.5machine আপনার মেশিনের আইপি ঠিকানা এবং secret.pemআপনার এসএস কী-এর পুরো পথ দিয়ে প্রতিস্থাপন করুন । আপনি এখনও একটি সতর্কতা পাবেন যা 10.0.0.5যুক্ত করা হয়েছে, তবে এটি সত্যই নিখোঁজ হয়েছে /dev/null। আমি এটি প্রায়শই যথেষ্ট করি যে আমি আমার মধ্যে একটি নাম রাখি~/.profile

alias awsssh='ssh -i secret.pem -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no'

আমি ssh ec2-user@example.comমেশিনগুলির জন্য টাইপ কমান্ডগুলি রিজার্ভ করেছিলাম আমি যখন আঙুলের ছাপটি যাচাই করতে গিয়েছিলাম to

— hbar
সূত্র

এই অর্থে সার্ভারের জন্য আপনি শুধুমাত্র কি কখনো একবার সাথে সংযোগ তোলে - কিন্তু ভাল উপায় বাসি এন্ট্রি পরিত্রাণ পেতে হয় - এবং আপনি থাকা উচিত নয় যে কত নোংরা আপনার known_hosts ফাইল নিয়ে উদ্বিগ্ন। সম্ভবত আপনি উপনামটি যে মূল্য আনয়ন করেছেন তার চেয়ে বেশি সময় এবং শক্তি ব্যয় করেছেন যে উপনামটি আপনাকে এনেছে তার চেয়ে বেশি।

— zaTricky

-2

পরিচিত_হোস্টগুলি কেবল পঠনযোগ্য হিসাবে পরিচিত করুন।

— Eldelshell
সূত্র

বাস্তববাদী বিকল্পগুলি সহজেই উপলব্ধ হলে এটি কার্যকারিতা ভঙ্গ করে। : - /

— zaTricky