Como excluir automaticamente a linha de chave de known_hosts quando uma sessão é fechada?

Navegue suas respostas
1

Estou trabalhando na automação de todo um ambiente usando o AWS CloudFormation e, durante o período de teste, sou obrigado a eliminar e recriar os servidores com muita frequência.

Os servidores são configurados para definir seus endereços IP de um pool dedicado, o que significa que na primeira vez que eu me conecto a eles, eu tenho que aceitar a verificação da chave do host (a pergunta sim / não) e depois excluir o servidor e recriá-lo, eu tenho que apagar a chave do servidor do arquivo known_hosts cada vez.

Minha pergunta é:

É possível excluir a chave de known_hosts automaticamente quando eu fechar a sessão? existe tal cenário que eu perdi?

    
por Itai Ganot 16.10.2017 / 08:52

3 respostas

3

Você pode configurar o ssh para usar vários arquivos para o known_hosts e novas entradas só serão adicionadas ao primeiro, definindo que /dev/null efetivamente não serão salvas: 

UserKnownHostsFile /dev/null ~/.ssh/known_hosts

Combine-o com o seu favorito pessoal de perguntar ou aceitar automaticamente chaves desconhecidas: 

StrictHostKeyChecking no

Você provavelmente deseja essas opções restritas a apenas (hosts específicos em) seu ambiente DEV, em vez de padrões globais, pois eles tiram um pouco da verificação da chave de segurança, portanto, em ~/.ssh/config : 

Host *.dev.example.com
    IdentityFile ~/.ssh/id_rsa.dev.example.com
    UseKeychain yes
    User hbruijn-adm
    StrictHostKeyChecking ask
    UserKnownHostsFile /dev/null ~/.ssh/known_hosts
    
por 16.10.2017 / 09:21
1

Você poderia fazer: 

ssh -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null -l user host

StrictHostKeyChecking = não é uma má idéia, já que aceitará automaticamente todas as chaves de hosts

UserKnownHostsFile = / dev / null não salvará nada em seu arquivo normal known_hosts.

    
por 16.10.2017 / 09:20
1

A maneira correta seria colocar SSHFP (automaticamente) no DNS , assinar a zona via DNSSEC e deixar SSH lidar com o restante, especialmente se você precisar fazer isso com muita freqüência e as teclas estão mudando constantemente.

    
por 16.10.2017 / 09:21

Tags

Como impedir o acesso de um usuário a um site usando server.domain.com, mas permitindo o vip.domain.com? Está apontando o DNS para o Controlador de Domínio necessário para que os GPOs funcionem?