Início / server / Perguntas / 132970
Accepted
gareth_bowles
Asked: 2010-04-16 20:15:11 +0800 CST

Posso adicionar automaticamente um novo host a known_hosts?

  • 772

Aqui está minha situação: estou configurando um equipamento de teste que, a partir de um cliente central, iniciará várias instâncias de máquina virtual e, em seguida, executará comandos nelas via ssh. As máquinas virtuais terão nomes de host e endereços IP não utilizados anteriormente, portanto, não estarão no ~/.ssh/known_hostsarquivo no cliente central.

O problema que estou tendo é que o primeiro sshcomando executado em uma nova instância virtual sempre aparece com um prompt interativo:

The authenticity of host '[hostname] ([IP address])' can't be established.
RSA key fingerprint is [key fingerprint].
Are you sure you want to continue connecting (yes/no)?

Existe uma maneira de contornar isso e fazer com que o novo host já seja conhecido pela máquina cliente, talvez usando uma chave pública que já esteja incorporada à imagem da máquina virtual? Eu realmente gostaria de evitar ter que usar o Expect ou qualquer outra coisa para responder ao prompt interativo, se puder.

linux ssh known-hosts

24 respostas

  1. IMO, a melhor maneira de fazer isso é o seguinte:

    ssh-keygen -R [hostname]
ssh-keygen -R [ip_address]
ssh-keygen -R [hostname],[ip_address]
ssh-keyscan -H [hostname],[ip_address] >> ~/.ssh/known_hosts
ssh-keyscan -H [ip_address] >> ~/.ssh/known_hosts
ssh-keyscan -H [hostname] >> ~/.ssh/known_hosts

    Isso garantirá que não haja entradas duplicadas, que você esteja coberto para o nome do host e o endereço IP, e também fará o hash da saída, uma medida de segurança extra.

    • 275
  2. Best Answer

    Defina a StrictHostKeyCheckingopção como no, no arquivo de configuração ou via -o:

    ssh -o StrictHostKeyChecking=no [email protected]

    • 190

  3. Para os preguiçosos:

    ssh-keyscan -H <host> >> ~/.ssh/known_hosts

    -H hashe o nome do host/endereço IP

    • 124

  4. Como mencionado, usar o key-scan seria a maneira correta e discreta de fazê-lo.

    ssh-keyscan -t rsa,dsa HOST 2>&1 | sort -u - ~/.ssh/known_hosts > ~/.ssh/tmp_hosts
mv ~/.ssh/tmp_hosts ~/.ssh/known_hosts

    O acima fará o truque para adicionar um host, SOMENTE se ainda não tiver sido adicionado. Também não é seguro de simultaneidade; você não deve executar o trecho na mesma máquina de origem mais de uma vez ao mesmo tempo, pois o arquivo tmp_hosts pode ficar sobrecarregado, levando o arquivo known_hosts a ficar inchado ...

    • 42

  5. Você pode usar ssh-keyscano comando para pegar a chave pública e anexá-la ao seu known_hostsarquivo.

    • 19

  6. É assim que você pode incorporar o ssh-keyscan ao seu jogo:

    ---
# ansible playbook that adds ssh fingerprints to known_hosts
- hosts: all
  connection: local
  gather_facts: no
  tasks:
  - command: /usr/bin/ssh-keyscan -T 10 {{ ansible_host }}
    register: keyscan
  - lineinfile: name=~/.ssh/known_hosts create=yes line={{ item }}
    with_items: '{{ keyscan.results | map(attribute='stdout_lines') | list }}'
    • 11

  7. esta seria uma solução completa, aceitando a chave do host apenas pela primeira vez

    #!/usr/bin/env ansible-playbook
---
- name: accept ssh fingerprint automatically for the first time
  hosts: all
  connection: local
  gather_facts: False

  tasks:
    - name: "check if known_hosts contains server's fingerprint"
      command: ssh-keygen -F {{ inventory_hostname }}
      register: keygen
      failed_when: keygen.stderr != ''
      changed_when: False

    - name: fetch remote ssh key
      command: ssh-keyscan -T5 {{ inventory_hostname }}
      register: keyscan
      failed_when: keyscan.rc != 0 or keyscan.stdout == ''
      changed_when: False
      when: keygen.rc == 1

    - name: add ssh-key to local known_hosts
      lineinfile:
        name: ~/.ssh/known_hosts
        create: yes
        line: "{{ item }}"
      when: keygen.rc == 1
      with_items: '{{ keyscan.stdout_lines|default([]) }}'
    • 8

  8. Para fazer isso corretamente, o que você realmente quer fazer é coletar as chaves públicas do host das VMs conforme você as cria e soltá-las em um arquivo em known_hostsformato. Você pode usar o -o GlobalKnownHostsFile=..., apontando para esse arquivo, para garantir que está se conectando ao host ao qual acredita que deveria estar se conectando. No entanto, como você faz isso depende de como você está configurando as máquinas virtuais, mas lê-lo no sistema de arquivos virtual, se possível, ou até mesmo fazer com que o host imprima o conteúdo /etc/ssh/ssh_host_rsa_key.pubdurante a configuração pode resolver o problema.

    Dito isso, isso pode não valer a pena, dependendo do tipo de ambiente em que você está trabalhando e de quem são seus adversários esperados. Fazer um simples "armazenar na primeira conexão" (por meio de uma varredura ou simplesmente durante a primeira conexão "real"), conforme descrito em várias outras respostas acima, pode ser consideravelmente mais fácil e ainda fornecer um pouco de segurança. No entanto, se você fizer isso, sugiro fortemente que você altere o arquivo de hosts conhecidos do usuário ( -o UserKnownHostsFile=...) para um arquivo específico para esta instalação de teste específica; isso evitará poluir seu arquivo de hosts conhecidos pessoais com informações de teste e facilitará a limpeza das agora inúteis chaves públicas quando você excluir suas VMs.

    • 8

  9. Eu faço um script de uma linha, um pouco longo mas útil para fazer essa tarefa para hosts com vários IPs, usando digebash

    (host=github.com; ssh-keyscan -H $host; for ip in $(dig @8.8.8.8 github.com +short); do ssh-keyscan -H $host,$ip; ssh-keyscan -H $ip; done) 2> /dev/null >> .ssh/known_hosts
    • 7

  10. O seguinte evita entradas duplicadas em ~/.ssh/known_hosts:

    if ! grep "$(ssh-keyscan github.com 2>/dev/null)" ~/.ssh/known_hosts > /dev/null; then
    ssh-keyscan github.com >> ~/.ssh/known_hosts
fi
    • 6

relate perguntas