Como editar known_hosts quando vários hosts compartilham o mesmo nome de IP e DNS?

Eu ssh regularmente em um computador que é um computador com OS X / Linux de inicialização dupla. As duas instâncias do SO não compartilham a mesma chave do host, portanto podem ser vistas como dois hosts compartilhando o mesmo IP e DNS. Digamos que o IP seja 192.168.0.9e os nomes sejam hostnameehostname.domainname

Até onde eu entendi, a solução para conectar-se aos dois hosts é adicioná-los ao ~/.ssh/know_hostsarquivo. No entanto, é mais fácil dizer do que fazer, porque o arquivo é hash, e tem provavelmente várias entradas por host ( 192.168.0.9, hostname, hostname.domainname). Como consequência, tenho o seguinte aviso

Warning: the ECDSA host key for 'hostname' differs from the key for the IP address '192.168.0.9'

Existe uma maneira fácil de editar o known_hostsarquivo, mantendo os hashes. Por exemplo, como posso encontrar as linhas correspondentes a um determinado hostame? Como posso gerar os hashes para alguns hosts conhecidos?

A solução ideal seria permitir-me para ligar para perfeitamente a este computador com ssh, não importa se eu chamá-lo 192.168.0.9, hostnameou hostname.domainname, nem se ele usa sua HostKey Linux ou seu HostKey OSX. No entanto, ainda quero receber um aviso se houver um ataque real no meio, ou seja , se outra chave além dessas duas for usada.

A solução mais direta aqui é apenas usar as mesmas chaves de host para Linux e OS X. Ou seja, escolha um conjunto de /etc/ssh/ssh_host_*_key*arquivos e copie-os para o outro SO. Em seguida, a mesma chave de host será apresentada a um cliente SSH, independentemente do sistema operacional em que você inicializou, e o cliente SSH não será o mais sábio.

Como o @Izzy sugeriu em um comentário acima, o ssh informa a linha incorreta e, removendo-a (salvando-a em outro lugar), aceitando a nova chave e copiando a linha removida, você termina com duas chaves para a mesma host e o ssh aceitará qualquer um.

(Você também pode usar ssh-keygen -H -F <hostname>para encontrar linhas no arquivo known_hosts que correspondam a esse nome de host. A execução após copiar a linha removida de volta deve listar duas entradas.)

Se alguém souber como fazer o PuTTY fazer a mesma coisa, eu ficaria muito interessado em ouvir sobre isso.

Encontrei isso que pode ajudá-lo com o que você deseja alcançar.

Fonte: /programming/733753/how-to-handle-ssh-host-key-verification-with-2-different-hosts-on-the-same-but

Crie um arquivo de configuração no diretório .ssh da seguinte maneira:

Host server1
  Hostname x1.example.com
  HostKeyAlias server1
  CheckHostIP no
  Port 22001
  User karl

Host server2
  Hostname x2.example.com
  HostKeyAlias server2
  CheckHostIP no
  Port 22002
  User karl

Explicação abaixo (de man ssh_config)

CheckHostIP

Se esse sinalizador estiver definido como "yes", o ssh (1) verificará adicionalmente o endereço IP do host no arquivo known_hosts. Isso permite que o ssh detecte se uma chave de host foi alterada devido à falsificação de DNS. Se a opção estiver definida como "não", a verificação não será executada. O padrão é "yes".

HostKeyAlias

Especifica um alias que deve ser usado em vez do nome do host real ao procurar ou salvar a chave do host nos arquivos de banco de dados de chaves do host. Essa opção é útil para encapsular conexões SSH ou para vários servidores em execução em um único host.

A linha Nome de usuário e Porta evita que você também precise fornecer essas opções na linha de comando, para que você possa usar:

% ssh server1
% ssh server2

A maneira mais fácil de resolver seu problema é fornecer a cada host um endereço IP próprio / distinto. Com 253 endereços disponíveis na sua rede (privada) e IPv4, isso não deve ser grande coisa. Dê a eles IPs fixos (como um servidor DHCP identificaria a máquina com base no endereço MAC das placas de rede e ambos obteriam o mesmo endereço). Não vejo outra solução se você quiser manter as medidas de segurança (que eu também não deixaria de lado por esse pequeno "conforto").

Não encontro esse problema ao conectar-me a várias caixas VPS que compartilham o mesmo IP, pois cada uma possui uma porta SSH diferente (20022,30022, etc), portanto, elas são registradas como hosts conhecidos com chaves diferentes.

Isso poderia ser uma solução alternativa para você?

Outro artigo , que descreve várias maneiras de lidar com seu problema:

O segundo método usa dois parâmetros openSSH:, StrictHostKeyCheckine UserKnownHostsFile. Esse método engana o SSH, configurando-o para usar um arquivo known_hosts vazio e NÃO para solicitar a confirmação da chave de identidade do host remoto.

Como você deseja manter a verificação estrita da chave do host, gostaria que eles usassem known_hostsarquivos diferentes . Para fazer isso, configure seu ~/.ssh/configarquivo (ou o /etc/ssh/ssh_configarquivo, se necessário, para que ele funcione em várias contas de usuário local) assim:

Host myserver.osx
  UserKnownHostsFile ~/.ssh/known_hosts.dual.osx
  # default is ~/.ssh/known_hosts
  Hostname $REALHOSTNAME

Host myserver.linux
  UserKnownHostsFile ~/.ssh/known_hosts.dual.linux
  Hostname $REALHOSTNAME

, substituindo $REALHOSTNAMEpelo nome do host ou endereço IP real, é claro. (Não importa qual você escolher, contanto que você escolha algo após "Hostname" que resolveria o endereço IP, mas eu usaria o nome do host em preferência a um endereço IP, apenas por princípios gerais.)

Em seguida, ssh myserver.linuxe ssh myserver.osxpode, assim, ter chaves de host diferentes, mas você ainda obter a verificação. Se for o Linux instalado e você digitar o OS X (ou vice-versa), receberá o aviso (que acredito ser o efeito desejado).

Se eu tivesse esse problema, garantiria que houvesse algo completamente errado no known_hostsarquivo principal que não corresponda a nenhum dos dois, portanto, se você digitar em $REALHOSTNAMEvez de myserver.osxreceber o aviso. :-) eu faria isso colocando algo como

<ip-address-of-github.com> $REALHOSTNAME

no meu /etc/hosts, em seguida, fazendo um ssh $REALHOSTNAMEe aceitando a nova chave, retirando essa entrada.