我有一个安全 FTP (FTPS) 服务器,我的远程站点每天通过运行的脚本例程将文件上传到该服务器。我过去在升级硬件和部署新服务器时遇到过问题,导致该服务器的 RSA 指纹发生变化。然后我的所有远程站点都无法连接,直到我删除旧密钥(通常通过 ssh_keygen -r myserver.com)。
我现在必须更改 myserver.com 的 IP 地址,我想知道是否有主动生成新主机密钥的方法,这样当服务器地址更改时,我的所有 FTPS 客户端远程站点都不会中断?
AskOverflow.Dev
(我认为你的意思是 sftp,而不是 ftps。Ftps 与 SSH 无关。)
答案是不。” 从客户的角度考虑:客户如何相信他们实际上是在与正确的服务器而不是流氓服务器通信?如果允许服务器随意更改 IP(或密钥)而没有来自客户端的投诉,那么客户端将很乐意连接到流氓服务器。
这很不方便,但您应该协调带外 IP 的更改。例如,一封安全电子邮件声明“在 X 时间服务器的 IP 将更改为 Y;您将需要更新客户端的密钥库。” 实际上,这可能太不方便了,所以 ssh 客户端提供了一些配置选项来降低安全性。例如,OpenSSH 有一个选项
CheckHostIP,当设置为no禁用 IP 检查时。尽管如此,决定是否信任服务器的还是在客户端的手中,而不是服务器的手中。