যখন বেশ কয়েকটি হোস্ট একই আইপি এবং ডিএনএস নাম ভাগ করে নেবে তখন কীভাবে পরিচিত_হোস্টগুলি সম্পাদনা করবেন?

আমি নিয়মিত একটি কম্পিউটারে প্রবেশ করি যা একটি ডুয়াল-বুট ওএস এক্স / লিনাক্স কম্পিউটার। দুটি ওএস দৃষ্টান্ত একই হোস্ট কীটি ভাগ করে না, তাই তাদের একই আইপি এবং ডিএনএসে ভাগ করে নেওয়া দুজন হোস্ট হিসাবে দেখা যেতে পারে। ধরা যাক আইপি 192.168.0.9, এবং নামগুলি hostnameএবংhostname.domainname

আমি যতদূর বুঝতে পেরেছি, দুটি হোস্টের সাথে সংযোগ রাখতে সক্ষম হ'ল সমাধানটি হ'ল উভয়টিকে ~/.ssh/know_hostsফাইলে যুক্ত করা। যাইহোক, এটা সহজ চেয়ে সম্পন্ন হলে, কারণ ফাইলটি কুচি-কুচি করিয়া কাটা বস্তু হয়, এবং হোস্ট প্রতি সম্ভবত বিভিন্ন এন্ট্রি হয়েছে বলা হয় ( 192.168.0.9, hostname, hostname.domainname)। ফলস্বরূপ, আমি নিম্নলিখিত সতর্কতা আছে

Warning: the ECDSA host key for 'hostname' differs from the key for the IP address '192.168.0.9'

known_hostsহ্যাশগুলি রাখার সময় কি ফাইল সম্পাদনা করার কোনও সহজ উপায় আছে ? উদাহরণস্বরূপ, প্রদত্ত হোস্টামের সাথে সম্পর্কিত লাইনগুলি আমি কীভাবে খুঁজে পেতে পারি? আমি কিছু পরিচিত হোস্টের জন্য কীভাবে হ্যাশগুলি তৈরি করতে পারি?

আদর্শ সমাধানটি আমাকে এই কম্পিউটারে এসএসএস দিয়ে নির্বিঘ্নে সংযোগ স্থাপনের অনুমতি দেবে, আমি তা কল করি না কেন 192.168.0.9, hostnameবা hostname.domainnameএটি লিনাক্স হোস্টকি বা তার ওএসএক্স হোস্টকি ব্যবহার করে না কেন। যাইহোক, আমি এখনও একটি সতর্কবার্তা পেতে চান যদি একটি বাস্তব ম্যান-ইন-মিডিল অ্যাটাক, হয় অর্থাত যদি এদেরকে ছাড়া অন্যকে অন্য কী ব্যবহার করা হয়।

এখানে সর্বাধিক সরল সমাধান হ'ল লিনাক্স এবং ওএস এক্সের জন্য একই হোস্ট কীগুলি ব্যবহার করা That অর্থাৎ, /etc/ssh/ssh_host_*_key*ফাইলগুলির একটি সেট বেছে নিন এবং সেগুলি অন্য ওএসে অনুলিপি করুন। তারপরে একই হোস্ট কীটি কোনও এসএসএইচ ক্লায়েন্টের কাছে উপস্থাপিত হবে তা নির্বিশেষে আপনি কোন ওএসে বুট করেছেন, এবং এসএসএইচ ক্লায়েন্ট বুদ্ধিমান কেউ হবে না।

@ আইজি যেমন উপরোক্ত মন্তব্যে পরামর্শ দিয়েছিলেন, এসএসএস আপনাকে আপত্তিজনক রেখাটি বলে, এবং সেই লাইনটি সরিয়ে, (এটি অন্য কোথাও সংরক্ষণ করে), নতুন কীটি স্বীকার করে, এবং তারপরে মুছে ফেলা লাইনটি অনুলিপি করে, আপনি একই জন্য দুটি কী দিয়ে শেষ করবেন হোস্ট, এবং ssh হয় গ্রহণ করবে।

(আপনি ssh-keygen -H -F <hostname>সেই হোস্টনামের সাথে মেলে এমন আপনার পরিচিত_হোস্ট ফাইলের লাইনগুলি সন্ধান করতেও ব্যবহার করতে পারেন the সরানো লাইনটি অনুলিপি করার পরে এটি চালানোতে দুটি এন্ট্রি তালিকাভুক্ত করা উচিত))

যদি কেউ একই জিনিস করতে পট্টি পেতে হয় তবে আমি এটি সম্পর্কে শুনে খুব আগ্রহী হব।

আমি এটি পেয়েছি যা আপনি অর্জন করতে চান তাতে আপনাকে সহায়তা করতে পারে।

সূত্র: /programming/733753/how-to-handle-ssh-host-key-verifications-with-2-differences-hosts-on-the-same-but

আপনার .ssh ডিরেক্টরিতে একটি কনফিগার ফাইল তৈরি করুন:

Host server1
  Hostname x1.example.com
  HostKeyAlias server1
  CheckHostIP no
  Port 22001
  User karl

Host server2
  Hostname x2.example.com
  HostKeyAlias server2
  CheckHostIP no
  Port 22002
  User karl

নীচে ব্যাখ্যা (পুরুষ ssh_config থেকে)

CheckHostIP

যদি এই পতাকাটি "হ্যাঁ" তে সেট করা থাকে, ssh (1) অতিরিক্ত_ হোস্ট ফাইলটিতে হোস্ট আইপি ঠিকানাটি চেক করবে। এটি ডিএনএসের স্পোফিংয়ের কারণে হোস্ট কীটি পরিবর্তিত হয়েছে কিনা তা সনাক্ত করার অনুমতি দেয় sh বিকল্পটি "না" এ সেট করা থাকলে, চেকটি কার্যকর করা হবে না। ডিফল্ট হ্যাঁ "হ্যাঁ"।

HostKeyAlias

হোস্ট কী ডাটাবেস ফাইলগুলিতে হোস্ট কী সন্ধান করতে বা সংরক্ষণ করার সময় আসল হোস্ট নামের পরিবর্তে ব্যবহার করা উচিত এমন একটি উপমা নির্দিষ্ট করে। এই বিকল্পটি এসএসএইচ সংযোগগুলি টানেল করার জন্য বা একক হোস্টে চলমান একাধিক সার্ভারের জন্য দরকারী।

ব্যবহারকারীর নাম এবং পোর্ট লাইন আপনাকে কমান্ড লাইনে এই বিকল্পগুলি দিতেও এড়িয়ে চলেছে, যাতে আপনি কেবল ব্যবহার করতে পারেন:

% ssh server1
% ssh server2

আপনার সমস্যা সমাধানের সহজতম উপায় হ'ল প্রতিটি হোস্টকে নিজস্ব / স্বতন্ত্র আইপি ঠিকানা দেওয়া। আপনার (বেসরকারী) নেট এবং আইপিভি 4-তে 253 ঠিকানা উপলব্ধ রয়েছে, এটি কোনও বড় বিষয় নয়। তাদের স্থির আইপি দিন (ডিএইচসিপি সার্ভার হিসাবে মেশিনটি নেটওয়ার্ক কার্ডের ম্যাকের ভিত্তিতে সনাক্ত করবে এবং উভয়ই একই ঠিকানা পাবে)। আপনি যদি সুরক্ষা ব্যবস্থা রাখতে চান তবে আমি অন্য কোনও সমাধান দেখতে পাচ্ছি না (যা আমি এই "সামান্য" স্বাচ্ছন্দ্যের জন্যও বাদ দেব না)।

একই আইপি ভাগ করে নেওয়ার বিভিন্ন ভিপিএস বাক্সের সাথে সংযোগ করার সময় আমি এই সমস্যায় পড়ি না কারণ প্রত্যেকের আলাদা আলাদা এসএসএইচ পোর্ট রয়েছে (20022,30022, ইত্যাদি) তাই তারা বিভিন্ন কী সহ পরিচিত হোস্ট হিসাবে নিবন্ধিত হয়।

এটা কি আপনার পক্ষে একান্ত কর্মসূচী হতে পারে?

অন্য আর্টিকেল , যা আপনার সমস্যা পরিচালনা করার বিভিন্ন উপায় বর্ণনা করে:

দ্বিতীয় পদ্ধতিতে দুটি ওপেনএসএসএইচ প্যারামিটার ব্যবহার করা হয়: StrictHostKeyCheckinএবং UserKnownHostsFile। এই পদ্ধতিটি এসএসএইচটিকে একটি খালি ज्ञात_হোস্ট ফাইলটি ব্যবহার করার জন্য কনফিগার করে এবং রিমোট হোস্ট পরিচয় কীটি নিশ্চিত করতে আপনাকে জিজ্ঞাসা করবে না।

যেহেতু আপনি কঠোর হোস্ট কী পরীক্ষা করে রাখতে চান, তাই আমি তাদের বিভিন্ন known_hostsফাইল ব্যবহার করতে চাই। এটি করার জন্য, আপনার ~/.ssh/configফাইলটি (বা /etc/ssh/ssh_configএকাধিক স্থানীয় ব্যবহারকারীর অ্যাকাউন্টে কাজ করার প্রয়োজন হলে ফাইলটি সেট আপ করুন):

Host myserver.osx
  UserKnownHostsFile ~/.ssh/known_hosts.dual.osx
  # default is ~/.ssh/known_hosts
  Hostname $REALHOSTNAME

Host myserver.linux
  UserKnownHostsFile ~/.ssh/known_hosts.dual.linux
  Hostname $REALHOSTNAME

, $REALHOSTNAMEঅবশ্যই প্রকৃত হোস্টনাম বা আইপি ঠিকানার সাথে প্রতিস্থাপন করা । (আপনি যা চয়ন করেন তা বিবেচ্য নয়, যতক্ষণ আপনি "হোস্টনাম" এর পরে আইপি ঠিকানার সমাধান করতে পারে এমন কিছু চয়ন করেন তবে আমি সাধারণ নীতি অনুসারে হোস্টের নামটি কোনও আইপি ঠিকানার পক্ষে পছন্দ করি।)

তারপরে ssh myserver.linuxএবং ssh myserver.osxএইভাবে বিভিন্ন হোস্ট কী থাকতে পারে তবে আপনি এখনও চেকিং পান। যদি এটি লিনাক্স সমাপ্ত হয় এবং আপনি ওএস এক্স (বা বিপরীতে) টাইপ করেন তবে আপনি সতর্কতা পাবেন (যা আমি বিশ্বাস করি কাঙ্ক্ষিত প্রভাবিত)।

আমার যদি এই সমস্যাটি ঘটে থাকে তবে আমি নিশ্চিত করেছিলাম যে মূল known_hostsফাইলটিতে এমন কোনও কিছু ভুল ছিল যা কোনও একটির সাথেই মেলে না, যাতে আপনি $REALHOSTNAMEপরিবর্তে টাইপ myserver.osxকরলে সতর্কতা পান। :-) আমি এমন কিছু রেখে এই কাজটি করতাম

<ip-address-of-github.com> $REALHOSTNAME

আমার মধ্যে /etc/hosts, তারপর একটি করে ssh $REALHOSTNAMEএবং নতুন কী গ্রহণ করে, তারপরে সেই এন্ট্রিটি নিয়ে।