禁用遠(yuǎn)程主機(jī)對SSH的公鑰進(jìn)行檢查的方法

SH 公鑰檢查是一個重要的安全機(jī)制,可以防范中間人劫持等黑客攻擊。但是在特定情況下,嚴(yán)格的 SSH 公鑰檢查會破壞一些依賴 SSH 協(xié)議的自動化任務(wù),就需要一種手段能夠繞過 SSH 的公鑰檢查。
首先看看什么是 SSH 公鑰檢查
SSH 連接遠(yuǎn)程主機(jī)時,會檢查主機(jī)的公鑰。如果是第一次該主機(jī),會顯示該主機(jī)的公鑰摘要,提示用戶是否信任該主機(jī):
當(dāng)選擇接受,就會將該主機(jī)的公鑰追加到文件 ~/.ssh/known_hosts 中。當(dāng)再次連接該主機(jī)時,就不會再提示該問題了。 如果因?yàn)槟撤N原因(服務(wù)器系統(tǒng)重裝,服務(wù)器間IP地址交換,DHCP,虛擬機(jī)重建,中間人劫持),該IP地址的公鑰改變了,當(dāng)使用 SSH 連接的時候,會報錯:
上面的警告信息說的是:
服務(wù)器公鑰已經(jīng)改變,新的公鑰的摘要是:e9:0c:36:89:7f:3c:07:71:09:5a:9f:28:8c:44:e9:05.
該服務(wù)器原來的公鑰記錄在文件 ~/.ssh/known_hosts 中第 81 行。
如果確認(rèn)不是中間人劫持,需要連接到該服務(wù)器,怎么辦呢?最簡單的就是用 vi 打開 ~/.ssh/known_hosts 文件,定位到 81 行,將該行刪除。之后就可以使用 ssh 連接了。
如何讓連接新主機(jī)時,不進(jìn)行公鑰確認(rèn)?
在首次連接服務(wù)器時,會彈出公鑰確認(rèn)的提示。這會導(dǎo)致某些自動化任務(wù),由于初次連接服務(wù)器而導(dǎo)致自動化任務(wù)中斷?;蛘哂捎?nbsp; ~/.ssh/known_hosts 文件內(nèi)容清空,導(dǎo)致自動化任務(wù)中斷。 SSH 客戶端的 StrictHostKeyChecking 配置指令,可以實(shí)現(xiàn)當(dāng)?shù)谝淮芜B接服務(wù)器時,自動接受新的公鑰。只需要修改 /etc/ssh/ssh_config 文件,包含下列語句:
或者在 ssh 命令行中用 -o 參數(shù)
如何防止遠(yuǎn)程主機(jī)公鑰改變導(dǎo)致 SSH 連接失敗
當(dāng)確認(rèn)中間人劫持攻擊風(fēng)險比較小的情況下,才可以使用下面的方法,禁用 SSH 遠(yuǎn)程主機(jī)的公鑰檢查。 SSH 客戶端提供一個 UserKnownHostsFile 配置,允許指定不同的 known_hosts 文件。那么將 known_hosts 指向不同的文件,不就不會造成公鑰沖突導(dǎo)致的中斷了么?
看,提示信息由公鑰改變中斷警告,變成了首次連接的提示。 和之前提到的 StrictHostKeyChecking 配置配合使用,則不再有任何警告出現(xiàn)了:
相關(guān)文章
免費(fèi)的云主機(jī)怎么申請?騰訊云主機(jī)的申請流程
如何申請免費(fèi)的云主機(jī)?云主機(jī)由于穩(wěn)定性以及高性能,現(xiàn)在越來越受歡迎?,F(xiàn)在市場上有各種各樣的云主機(jī),但有些網(wǎng)站是給提供免費(fèi)試用的。下面分享騰訊云主機(jī)的申請流程,需2015-07-16從VirtualBox虛擬主機(jī)訪問NAT客戶機(jī)的方法
這篇文章主要介紹了從VirtualBox虛擬主機(jī)訪問NAT客戶機(jī)的方法,即啟用端口通過SSH連接客戶機(jī)的方法,需要的朋友可以參考下2015-07-07KVM虛擬機(jī)上關(guān)于宿主機(jī)的USB設(shè)備使用問題探究
這篇文章主要介紹了KVM虛擬機(jī)上關(guān)于宿主機(jī)的USB設(shè)備使用問題探究,作者在Windows7的宿主機(jī)和CentOS及Fedora的虛擬機(jī)上做出了嘗試,需要的朋友可以參考下2015-06-30- 在選購美國主機(jī)之前,需要對美國主機(jī)有一個全面的認(rèn)識,先了解下很多站長選擇美國主機(jī)的原因,美國主機(jī)有哪些優(yōu)點(diǎn)?2015-03-17
亞馬遜AWS Dell云 Windows Azure 阿里云ECS免費(fèi)VPS主機(jī)試用
去年亞馬遜AWS就已經(jīng)開始醞釀著進(jìn)駐國內(nèi),目前亞馬遜AWS中國版已經(jīng)推出,企業(yè)和開發(fā)者可開始在amazonaws.cn申請預(yù)覽版,用戶只要填寫一個申請表就可以等待開通和使用了,現(xiàn)2015-03-06Conoha.jp日本免費(fèi)試用VPS主機(jī)和VPS主機(jī)性能測試體驗(yàn)
Conoha.jp是日本GMO集團(tuán)下的以提供VPS服務(wù)器為主的網(wǎng)絡(luò)服務(wù)商,現(xiàn)在為大家提供免費(fèi)一個月的日本VPS主機(jī)試用體驗(yàn)服務(wù),1G內(nèi)存2核100G硬盤,100M共享帶寬,KVM架構(gòu),申請注冊2015-01-26站長們該如何選擇虛擬主機(jī)?國內(nèi)國外虛擬主機(jī)各自優(yōu)劣對比
站長們該如何選擇虛擬主機(jī)?當(dāng)購買好域名后,站長們就該選擇虛擬主機(jī)了,虛擬主機(jī)有國內(nèi)和國外之分。下面小編就為大家?guī)韲鴥?nèi)國外虛擬主機(jī)各自優(yōu)劣對比,一起來看看吧2015-12-18