Como atualizar o SSHD sem a alteração da chave do servidor?

3

Então ... precisamos atualizar o SSHD. Como podemos fazer isso sem ter esse problema que as pessoas (que estão entrando no ssh) veem a mensagem:

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
0e:a1:b1:40:85:a2:a7:03:17:1b:52:8f:10:c7:b3:d0.
Please contact your system administrator.
Add correct host key in /home/USERNAME/.ssh/known_hosts to get rid of this message.
Offending key in /home/USERNAME/.ssh/known_hosts:13
RSA host key for [192.168.1.1]:22 has changed and you have requested strict checking.
Host key verification failed.
    
por gasko peter 13.06.2012 / 20:23

2 respostas

5

Apenas a atualização do sshd normalmente não substituirá a chave do host. Então, sim, basta atualizá-lo e ele deve ficar bem.

Nota: Você normalmente não precisará disso, mas se quiser estar seguro, pode criar um backup das chaves do host ssh e copiá-las de volta depois de fazer upgrade do sistema. Normalmente você teria que fazer o backup de /etc/ssh/ssh_host* . Se algo deu errado, você pode restaurar os arquivos depois.

    
por 13.06.2012 / 20:36
0

Sei que essa é uma pergunta antiga, mas acho que essa é uma adição válida para pesquisas futuras. Atualizar seu sshd não deve fazer com que a chave do host seja recriada, então você está bem com uma atualização. A atualização do seu servidor, no entanto, pode causar a criação de uma nova chave de host. A mensagem que você está descrevendo aparece quando o cliente ssh não reconhece a chave do host do servidor, portanto, qualquer coisa que altere a chave do host causará esse problema.

Uma maneira de contornar isso é remodelar o uso do ssh para usar certificados em vez de senhas e chaves. Enquanto isso leva algum trabalho, e um pouco de remodelação, mas vale a pena você querer assinar melhor seus servidores. Existe um guia muito bom aqui:

link

Basicamente, o que você faz é criar uma CA para os servidores e uma CA para os usuários e usá-los para autenticar os clientes e servidores respectivamente. Você ainda veria a mensagem acima se tiver feito login com nome de usuário / senha, mas para qualquer um que fizer login com certificados, a única coisa que importa é que o certificado de host do servidor seja assinado pela CA do servidor.

    
por 25.09.2014 / 09:55

Tags