Gostaria de alterar a configuração padrão de HostKeyAlgorithms para todas as conexões SSH para preferir ssh-ed25519 over ecdsa-sha2-nistp256 . Mas atualmente tenho ecdsa-sha2-nistp256 chaves de host para muitos hosts no meu arquivo known_hosts (cerca de 70). Quando me conecto a um host com a nova configuração, recebo a mesma mensagem como se alguém substituísse a chave do host nesse host:
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ED25519 key sent by the remote host is
SHA256:rqhdlN+Qe/GJeWoj3pyhLLSnzSCz68ZA7ds+mG4iZ7o.
Please contact your system administrator.
Add correct host key in [...]/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in [...]/.ssh/known_hosts:52
ED25519 host key for [...] has changed and you have requested strict checking.
Host key verification failed.
Agora, eu prefiro não ter que remover todos os hosts do meu arquivo known_hosts e aceitar as "novas" chaves ED25519 na próxima conexão. Em vez disso, gostaria de ter uma maneira de continuar com o conteúdo existente desse arquivo. Há alguma maneira de fazer isso? Por exemplo. voltando para a chave de host conhecida mesmo quando não está usando o algoritmo preferido. Ou existe uma maneira automatizada de substituir todas essas entradas?
Eu estava respondendo a perguntas semelhantes em Unix so para resumir, no OpenSSH 6.8+ existe a opção UpdateHostKeys , que diz ao seu cliente que ele deve pegar todas as chaves do host oferecidas pelo servidor.
Isso deve resolver seus problemas.
Tags ssh known-hosts hostkey