Movendo um servidor para um novo hardware em um novo datacenter em breve, e claro, isso significa um novo IP.
Qual é o processo correto (se é que é possível) para mover as chaves SSH do servidor original para o novo, para que os clientes conectados não recebam nenhum aviso ou tenham que aceitar algo novamente?
É possível, considerando que o IP está mudando?
Quais arquivos eu tenho que mover? Estou assumindo todos os arquivos ssh_host_ *.
Mudando do RHEL 5 para o Ubuntu 10.04.
Você pode mover as chaves do seu servidor atual para o novo servidor sem muita complicação. Você só precisa garantir que eles entrem no mesmo local e tenham a mesma permissão.
Idealmente, você deve aproveitar a oportunidade para criar novas chaves e atualizar as chaves do cliente no interesse da segurança.
1) Se seus arquivos de configuração do sshd estiverem armazenados em / etc / ssh /, você precisará copiar todos eles. Você encontrará a configuração do sshd, bem como o par de chaves do host.
Certifique-se de copiar corretamente as permissões também! O sshd simplesmente ignorará as chaves que não estão adequadamente protegidas. (Bom também, como uma chave privada desprotegida é uma idéia muito ruim.)
2) Se você já adicionou chaves públicas de hosts remotos que são confiáveis e não exigem mais uma senha para fazer login, também é necessário copiar essas informações para que o login automático funcione novamente agora . Esta informação é armazenada normalmente em /home/-account-/.ssh/ (sob authorized_keys). Mais uma vez, não esqueça as permissões aqui.
Em relação à alteração do endereço IP, supondo que os clientes remotos realmente vejam uma mudança no IP (você não está atrás de algum proxy reverso ou nada), então não, eles exigirão que o usuário aceite o certificado novamente. (já que no arquivo known_hosts do cliente remoto, o certificado do servidor e IP do servidor foram armazenados juntos). Pior, se você atribuir esse endereço IP a outro servidor ssh, eles podem até ser avisados de um ataque man-in-the-middle .
Portanto, apenas usar o mesmo endereço IP (externo) no novo servidor faz sentido.
Você não mencionou seu sistema operacional. Eu posso dizer com certeza que um host RHEL tem as chaves do servidor armazenadas em / etc / ssh. Basta copiar esse diretório em sua totalidade. Você então precisará devolver o sshd / reiniciar a caixa.
Acredito que, enquanto você estiver se conectando pelo mesmo nome DNS, não deverá receber avisos. Mesmo com o novo IP.
- Christopher Karel