Ainda recebendo “falha ssh: Chave RSA ofensiva em / var / lib / sss / pubconf / known_hosts” apesar de remover a chave especificada de “known_hosts”

Navegue suas respostas
5

Eu sei que perguntas semelhantes foram feitas muitas vezes, mas há uma diferença aqui:

Tentando ssh no servidor, recebo: 

$ ssh cl11lx
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
07:51:03:4e:5e:ba:e8:44:70:77:cb:57:78:57:59:35.
Please contact your system administrator.
Add correct host key in /nethome/ajalali/.ssh/known_hosts to get rid of this message.
Offending RSA key in /var/lib/sss/pubconf/known_hosts:8
  remove with: ssh-keygen -f "/var/lib/sss/pubconf/known_hosts" -R cl11lx
ECDSA host key for cl11lx has changed and you have requested strict checking.
Host key verification failed.

A pergunta mais relevante que encontrei é aqui , que é fechada como uma duplicata de esta que, por si só, é fechada como off-line tópico. Mas eles não são os mesmos de qualquer maneira. Outra pergunta relacionada é feita aqui .

Na maioria dos casos, como sabemos, você pode corrigir o problema substituindo a chave do servidor, por exemplo, executando: 

ssh-keygen -R <host>

Mas nem esta solução, nem a remoção da chave incorreta do arquivo /var/lib/sss/pubconf/known_hosts resolveu meu problema.

Assim que remover todo o arquivo ou remover a chave incorreta, a chave estará de volta.

Por favor, note que todos os meus sistemas são membros de um servidor freeipa, que em si é um LDAP / Kerberos no backend.

    
por adrin 29.04.2016 / 11:18

1 resposta

8

Como visto no registro publicado, a chave incorreta não está em seu lugar normal, ou seja, $HOME/.ssh/known_hosts , mas está localizada em /var/lib/sss/pubconf/known_hosts . Isso sugere que o System Security Services Daemon conhecido como sssd está buscando a chave incorreta de outra fonte.

É por isso que remover a chave do arquivo não tem efeito, porque ela está sendo recuperada novamente de um servidor várias vezes.

Neste caso, o servidor é um servidor free-ipa . Portanto, para corrigir o problema, a chave incorreta enviada pelo servidor ipa deve ser alterada.

Isso pode ser feito alterando manualmente a chave no servidor ou removendo completamente as informações do host do servidor e instalando o cliente (via ipa-client-install ) novamente.

Meu problema aconteceu depois de reinstalar o sistema operacional no cliente. Portanto, é uma opção sensata para mim remover as informações do host do servidor e instalar o cliente ipa novamente.

    
por 29.04.2016 / 11:27

Tags

Procura de software de gravação multi-CD / DVD tolerante a falhas [fechado] Como usar o gpg --gen-key em um script?