Problemas de verificação da chave de host SSH usando VIP

8

Temos dois servidores de produção em um VIP, apenas um em uso por vez, por exemplo:

myservice.mycompany.uk normalmente aponta para server1, no caso em que server1 falha, é alterado para apontar para server2.

Existem alguns outros servidores que precisam enviar arquivos para myservice.mycompany.uk via SFTP e devem ser totalmente transparentes para eles se fizermos failover para server2.

O problema é que, enquanto as chaves são instaladas no servidor1 e no servidor2, os outros servidores terão problemas de verificação da chave do host, porque a chave do host do servidor2 é diferente da chave do host do servidor1. Isso causa um erro de segurança (desde que a verificação estrita esteja ativada) e uma linha deve ser removida de known_hosts para que funcione.

Nosso analista de TI sugeriu que podemos criar 2 entradas em known_hosts, uma com a chave para server1 e outra com server2, ambas com o host myservice.mycompany.uk.

É provável que isso funcione? Como isso pode ser feito com putty / psftp no windows? Como a chave do host é armazenada no registro e nomes duplicados não são permitidos. Existe uma maneira melhor, podemos, por exemplo, forçar os servidores a ter a mesma chave de host?

    
por Paul Creasey 19.07.2011 / 10:56

2 respostas

15

Para tornar mais fácil para os clientes, eu usaria apenas a mesma chave de host em ambas as máquinas. Basta copiar uma das chaves (a do servidor atualmente em uso) para a segunda máquina. As chaves estão em /etc/ssh/ssh_host_* .

Outra opção é desativar a verificação da chave do host nos clientes. Isso pode ser feito ajustando seu ssh_config para usar:

Host myservice.mycompany.uk
    StrictHostKeyChecking
    
por 22.07.2011 / 14:10
0

Eu arquivei isto desta maneira, o usuário root roda um script às 23:00 que se conecta ao endereço IP lógico do cluster linux, então no caso de failover do endereço IP minha mudança de impressão digital ssh

echo "StrictHostKeyChecking no" >> /root/.ssh/config 
echo "UserKnownHostsFile /dev/null" >> /root/.ssh/config

Desta forma, a configuração é apenas para raiz

    
por 19.12.2013 / 19:14