Início / computer / Perguntas / 1783183
Accepted
mszmurlo
Asked: 2023-05-09 19:01:26 +0800 CST

Com ssh, como validar automaticamente a primeira conexão com um servidor desconhecido

  • 772

A primeira vez que alguém conecta um servidor desconhecido com ssh, ele obtém:

$ ssh root@<IP>
The authenticity of host '<IP> (<IP>)' can't be established.
ECDSA key fingerprint is SHA256:ZmlG4578we0daN56544KJFPYwH0vOi2bMPkLTv8io.
Are you sure you want to continue connecting (yes/no/[fingerprint])?

Isso é doloroso se o ambiente estiver totalmente sob controle e a conexão for feita em um script (um script de criação de infraestrutura em nuvem no meu caso).

Existe uma maneira de aceitar automaticamente este servidor e ter o IP armazenado known_hostssem uma validação manual?

Eu fui até a página do manual, mas não consegui encontrar nada aplicável.

Também tentei echo yes | ssh -q root@<IP>sem mais sucesso.

ssh

2 respostas

  1. Best Answer

    Para OpenSSH [ênfase minha]:

    StrictHostKeyChecking

    Se este sinalizador for definido como yes, ssh(1)nunca adicionará automaticamente as chaves do host ao ~/.ssh/known_hostsarquivo e se recusará a conectar-se aos hosts cuja chave do host foi alterada. Isso fornece proteção máxima contra ataques man-in-the-middle (MITM), embora possa ser irritante quando a /etc/ssh/ssh_known_hosts filemanutenção é ruim ou quando conexões com novos hosts são feitas com frequência. Esta opção força o usuário a adicionar manualmente todos os novos hosts.

    Se esse sinalizador for definido como, accept-newadicionará sshautomaticamente novas chaves de host ao known_hostsarquivo do usuário, mas não permitirá conexões a hosts com chaves de host alteradas. Se este sinalizador for definido como noou off, sshadicionará automaticamente novas chaves de host aos arquivos de hosts conhecidos do usuário e permitirá que as conexões com hosts com chaves de host alteradas prossigam, sujeitas a algumas restrições. Se este sinalizador for definido como ask(o padrão), novas chaves de host serão adicionadas aos arquivos de host conhecidos do usuário somente depois que o usuário confirmar que é isso que realmente deseja fazer e se sshrecusará a conectar-se a hosts cuja chave de host foi alterada . As chaves de host de hosts conhecidos serão verificadas automaticamente em todos os casos.

    ( fonte )

    Você deseja StrictHostKeyChecking accept-new(ou StrictHostKeyChecking=accept-new, ambas as sintaxes são boas) em /etc/ssh/ssh_configou em seu ~/.ssh/config, ou como um argumento de opção ao -oinvocar ssh:

    ssh -o StrictHostKeyChecking=accept-new …

    Em vez de accept-newvocê pode especificar nose acha que é isso que deseja.

    • 3

  2. Você pode usar o comando assim:

    ssh -o StrictHostKeyChecking=no root@<IP>

    para evitar esta mensagem, mas isso deixa você aberto para ataques intermediários, então IMHO não é uma boa ideia

    • 0

relate perguntas