Chave do host SSH FTPS após alteração do endereço IP

1

Eu tenho um servidor FTP Seguro (FTPS) que meus sites remotos enviam arquivos diariamente através de rotinas de script que são executadas. Eu tive problemas no passado ao atualizar o hardware e implantar novos servidores, fazendo com que a impressão digital RSA mudasse para esse servidor. Então, todos os meus sites remotos não podem se conectar até que eu tenha a chave antiga removida (geralmente via ssh_keygen-r myserver.com).

Agora tenho que alterar o endereço IP para myserver.com e gostaria de saber se existe alguma maneira de gerar proativamente novas chaves de host para que, quando o endereço do servidor mudar, todos os sites remotos do cliente FTPS não sejam interrompidos?

    
por David George 05.09.2012 / 01:29

1 resposta

1

(Eu acho que você quer dizer sftp, não ftps. Ftps não tem nada a ver com SSH.)

A resposta é "não". Pense nisso da perspectiva de um cliente: como um cliente pode confiar que está realmente se comunicando com o servidor correto em vez de com um servidor não autorizado? Se o servidor tiver permissão para alterar IPs (ou chaves) à vontade sem queixas do cliente, o cliente ficará feliz em se conectar a um servidor não autorizado.

É inconveniente, mas você deve coordenar a mudança de IPs fora da banda. Por exemplo, um e-mail seguro informando "No horário X, o IP do servidor será alterado para Y; será necessário atualizar o armazenamento de chaves do seu cliente." Na realidade, isso pode ser muito inconveniente, então os clientes do ssh oferecem algumas opções de configuração para reduzir a segurança. Por exemplo, o OpenSSH tem a opção CheckHostIP que, quando definida como no , desabilita a verificação de IP. Ainda assim, está nas mãos do cliente, não do servidor, decidir se deve confiar no servidor ou não.

    
por 05.09.2012 / 02:51

Tags