Question Comment puis-je éviter la vérification de l'hôte SSH pour les hôtes connus?


Je reçois l'invite suivante chaque fois que j'essaie de connecter un serveur à l'aide de SSH. Je tape "oui", mais y a-t-il un moyen d'y parvenir?

The authenticity of host '111.222.333.444 (111.222.333.444)' can't be established.
RSA key fingerprint is f3:cf:58:ae:71:0b:c8:04:6f:34:a3:b2:e4:1e:0c:8b.
Are you sure you want to continue connecting (yes/no)? 

127
2018-03-29 09:43


origine


/ dev / null existe pour ceux qui pensent qu'ils sont immunisés contre les attaques du milieu :) - Tim Post♦
Pire partie: Type y pour gagner du temps, et il se plaint: Please type 'yes' or 'no':  (hmph) - ADTC


Réponses:


Utilisez le -o option,

ssh -o "StrictHostKeyChecking no" user@host

180
2018-03-29 10:53



Vous voudrez peut-être utiliser un autre fichier d'identité avec le drapeau '-i' - MUY Belgium
À quoi servirait d’utiliser un autre fichier d’identité? Je veux dire, si vous vous connectez à un hôte compromis, quelle différence cela fait-il pour votre authentification - ce n'est pas comme si l'hôte compromis pouvait voler votre clé aussi. - Dagelf


Ajoutez les lignes suivantes au début de /etc/ssh/ssh_config...

Host 192.168.0.*
   StrictHostKeyChecking no
   UserKnownHostsFile=/dev/null

Options:

  • Le sous-réseau hôte peut être * permettre un accès illimité à toutes les adresses IP.
  • modifier /etc/ssh/ssh_config pour la configuration globale ou ~/.ssh/config pour la configuration spécifique à l'utilisateur.

Voir http://linuxcommando.blogspot.com/2008/10/how-to-disable-ssh-host-key-checking.html


78
2017-08-06 21:56



Dommage, je ne peux que t'empêcher une fois. Définir KnownHosts sur / dev / null est génial. - J0hnG4lt
Votre le plus intelligent. - Darth Egregious
Ha! Dis à ma femme. - JimFred


Vous ne devriez l'obtenir que la première fois que vous vous connectez à un nouvel hôte. Après avoir répondu yes l'hôte est stocké dans ~/.ssh/known_hosts et vous ne serez pas invité la prochaine fois que vous vous connecterez.

Notez que si ~/.ssh/known_hosts ne peut pas être écrit pour une raison quelconque (par exemple, problème de permissions), vous serez invité à chaque fois que vous vous connecterez.


26
2018-03-29 09:47



La question est de savoir s'il y a de toute façon pour éviter l'invite? - shantanuo
J'ai essayé d'ajouter "CheckHostIP no" au fichier / etc / ssh / ssh_config. Mais cela ne semble pas fonctionner - shantanuo
sudo chown -R utilisateur: utilisateur .ssh; sudo chmod 700 .ssh; sudo chmod -R 600 .ssh /; ssh-keygen -R $ hostname et se reconnecter qui devrait prendre TOUS les problèmes et UNIQUEMENT réinterroger si un ssk_Hostkey est mélangé avec | changé ou vous êtes victime d'un MITM. - linuxdev2013
il dit "à chaque fois" donc cette réponse est super appropriée - tarikakyol


Le meilleur moyen (car il ne sacrifie pas la sécurité) est de se connecter une fois à tous les ordinateurs à partir d’un seul client (vous serez invité à chaque fois, répondez toujours par oui). Comme indiqué dans l'autre réponse, les clés seront alors stockées dans ~ / .ssh / known_hosts. Ensuite, copiez ce fichier sur chaque ordinateur client à partir duquel vous souhaitez vous connecter (éventuellement pour chaque compte d'utilisateur que vous utilisez). Ensuite, tous ces comptes "connaîtront" les ordinateurs, donc pas d'invite.

L'avantage par rapport à la simple désactivation de l'invite est que SSH peut réellement vérifier s'il y a une attaque MITM.


11
2018-06-08 22:29



Bien que, si vous utilisez souvent des connexions ssh via des connexions directes, vous voudrez ajouter ceci à / etc / ssh / ssh_config: Hôte 127.0.0.1 NoHostAuthenticationForLocalhost yes - Dagelf


Si vous souhaitez désactiver la confirmation plutôt que l'authentification, vous pouvez utiliser l'option "-o CheckHostIP = no"

ssh -i sergeys_rsa_key.pem -o CheckHostIP=no brin@8.8.8.8

1
2017-07-11 23:20



Le PO a déjà reçu la même réponse et l'a accepté. - Ayan


Cela est probablement dû au fait que votre serveur de clés ssh a été modifié, car ip ou domain du serveur est identique mais ne correspond pas à la clé ssh.

Vous devez supprimer la clé stockée dans /home/$user/.ssh/known_hosts pour éviter ce message.

Je l'ai corrigé en supprimant toutes les clés de ce fichier, donc un nouveau jeton est créé pour ce nom de domaine.


0
2017-12-12 18:09



Clé modifié produit un message beaucoup plus laid avec une boîte de WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!  et IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! en tout-caps. Le message dans la question se produit uniquement s'il y a ne pas déjà une entrée dans known_hosts. - dave_thompson_085