ssh: aceita automaticamente as chaves

Use a opção StrictHostKeyChecking, por exemplo:

ssh -oStrictHostKeyChecking=no $h uptime

Esta opção também pode ser adicionada a ~ / .ssh / config, por exemplo:

Host somehost
    Hostname 10.0.0.1
    StrictHostKeyChecking no

Observe que, quando as chaves do host forem alteradas, você receberá um aviso, mesmo com essa opção:

$ ssh -oStrictHostKeyChecking=no somehost uptime
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
31:6f:2a:d5:76:c3:1e:74:f7:73:2f:96:16:12:e0:d8.
Please contact your system administrator.
Add correct host key in /home/peter/.ssh/known_hosts to get rid of this message.
Offending RSA key in /home/peter/.ssh/known_hosts:24
  remove with: ssh-keygen -f "/home/peter/.ssh/known_hosts" -R 10.0.0.1
Password authentication is disabled to avoid man-in-the-middle attacks.
Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks.
ash: uptime: not found

Se seus hosts não forem reinstalados com freqüência, você poderá tornar isso menos seguro (mas mais conveniente para as chaves de host que mudam com frequência) com a opção -oUserKnownHostsFile=/dev/null . Isso descarta todas as chaves de host recebidas para que nunca gerem o aviso.

Com o 18.04, há uma nova possibilidade: StrictHostKeyChecking=accept-new . De man 5 ssh_config :

If this flag is set to “accept-new” then ssh will automatically
add new host keys to the user known hosts files, but will not
permit connections to hosts with changed host keys.  If this flag
is set to “no” or “off”, ssh will automatically add new host keys
to the user known hosts files and allow connections to hosts with
changed hostkeys to proceed, subject to some restrictions.

Você pode usar o seguinte comando para adicionar a impressão digital de um servidor ao seu arquivo known_hosts

ssh-keyscan -H <ip-address> >> ~/.ssh/known_hosts
ssh-keyscan -H <hostname> >> ~/.ssh/known_hosts

OBSERVAÇÃO: Substitua < endereço IP > e < hostname > com o nome IP e dns do servidor que você deseja adicionar.

O único problema com isso é que você terminará com alguns servidores em seu known_hosts duas vezes. Não é realmente um grande negócio, apenas mencionar. Para garantir que não haja duplicatas, você pode remover todos os servidores primeiro executando o seguinte primeiro:

ssh-keygen -R <ip-address>
ssh-keygen -R <hostname>

Então você pode executar:

for h in $SERVER_LIST; do
    ip=$(dig +search +short $h)
    ssh-keygen -R $h
    ssh-keygen -R $ip
    ssh-keyscan -H $ip >> ~/.ssh/known_hosts
    ssh-keyscan -H $h >> ~/.ssh/known_hosts
done

Uma coisa a ter em mente ao remover apenas para adicionar novamente, você está essencialmente removendo a segurança de verificar a impressão digital. Então você definitivamente não gostaria de executar este script antes de cada execução do seu script de utilitário.

Estou um pouco atrasado com essa resposta, mas a maneira mais sensata seria fazer um ssh-keyscan na nova máquina antes de executar o tempo de atividade.

ssh-keyscan  <newhost> >> ~/.ssh/known_hosts

Desativar a verificação de integridade por conveniência parece um plano ruim, mesmo se você acha que está totalmente no controle do ambiente.

Para adicionar uma lista de servidores automaticamente, podemos fazer o seguinte:

Adicionar servidores IP no arquivo servers-list

Os IPs devem ser adicionados no formato abaixo.

Saída de cat servers-list

123.1.2.3
124.1.2.4
123.1.2.5

Altere os IPs acima substituindo o seu.

Abaixo, o comando adicionará todos os servidores da lista.

ssh-keyscan -p61 -H "'cat servers-list'" >> ~/.ssh/known_hosts