Как я могу избежать проверки хоста SSH для известных хостов?

170

Каждый раз, когда я пытаюсь подключиться к серверу, используя SSH, я получаю следующее приглашение. Я набираю «да», но есть ли способ это исправить?

The authenticity of host '111.222.333.444 (111.222.333.444)' can't be established.
RSA key fingerprint is f3:cf:58:ae:71:0b:c8:04:6f:34:a3:b2:e4:1e:0c:8b.
Are you sure you want to continue connecting (yes/no)? 
shantanuo
источник
8
/ dev / null существует для тех, кто думает, что они невосприимчивы к человеку в середине атаки :)
Тим Пост
1
Худшая часть: наберите, yчтобы сэкономить время, и он жалуется: Please type 'yes' or 'no': (хмф)
ADTC
похож на askubuntu.com/questions/87449/…
MarkHu

Ответы:

235

Используйте -oопцию,

ssh -o "StrictHostKeyChecking no" user@host
thegeek
источник
1
Возможно, вы захотите использовать альтернативный файл идентификации с флагом '-i'
MUY Бельгия
Какой смысл использовать альтернативный файл идентификации? Я имею в виду, что если вы подключаетесь к скомпрометированному хосту, какая разница в том, как вы проходите аутентификацию - это не значит, что скомпрометированный хост тоже может украсть ваш ключ.
Dagelf
102

Добавьте следующие строки в начало /etc/ssh/ssh_config...

Host 192.168.0.*
   StrictHostKeyChecking no
   UserKnownHostsFile=/dev/null

Параметры:

  • Подсеть хоста может *позволять неограниченный доступ ко всем IP-адресам.
  • Изменить /etc/ssh/ssh_configдля глобальной конфигурации или ~/.ssh/configдля пользовательской конфигурации.

См. Http://linuxcommando.blogspot.com/2008/10/how-to-disable-ssh-host-key-checking.html.

JimFred
источник
2
Жаль, что я могу сказать тебе только один раз. Установка KnownHosts в / dev / null - гениально.
J0hnG4lt
1
Вы самый умный.
Дарт Egregious
30
Ха! Скажи моей жене.
ДжимФред
30

Вы должны получить это только при первом подключении к новому хосту. После того, как вы ответите, yesхост будет сохранен, ~/.ssh/known_hostsи вам не будет предложено при следующем подключении.

Обратите внимание, что если ~/.ssh/known_hostsне может быть написано по какой-либо причине (например, проблема с разрешениями), вам будет предложено при каждом подключении.

Пол Р
источник
7
Вопрос в том, чтобы избежать подсказки?
Shantanuo
Я попытался добавить "CheckHostIP no" в файл / etc / ssh / ssh_config. Но, похоже, это не работает
Shantanuo
2
sudo chown -R пользователь: пользователь .ssh; sudo chmod 700 .ssh; sudo chmod -R 600 .ssh /; ssh-keygen -R $ hostname и переподключение, которое должно устранить ВСЕ проблемы и ТОЛЬКО когда-либо повторно запрашивать, если ssk_Hostkey был взломан с помощью | изменился или вы стали жертвой MITM.
linuxdev2013
1
он говорит «каждый раз», так что этот ответ супер уместен
tarikakyol
12

Лучший способ (поскольку он не жертвует безопасностью) - это один раз подключиться ко всем компьютерам с одного клиента (каждый раз будет запрашиваться, всегда отвечайте «да»). Как указано в другом ответе, ключи будут сохранены в ~ / .ssh / known_hosts. Затем скопируйте этот файл на каждый клиентский компьютер, к которому вы позже захотите подключиться (возможно, для каждой учетной записи пользователя, которую вы используете). Тогда все эти учетные записи будут «знать» компьютеры, следовательно, не будут получать подсказки.

Преимущество по сравнению с простым отключением приглашения заключается в том, что SSH может на самом деле проверять наличие атаки MITM.

sleske
источник
1
Хотя, если вы часто пользуетесь ssh через прямые соединения, вам нужно добавить это в / etc / ssh / ssh_config: Host 127.0.0.1 NoHostAuthenticationForLocalhost yes
Dagelf
1

Если вы хотите отключить подтверждение, а не аутентификацию, вы можете использовать опцию: "-o CheckHostIP = no"

ssh -i sergeys_rsa_key.pem -o CheckHostIP=no brin@8.8.8.8
RJ
источник
ОП уже получил тот же ответ и принял его.
Аян
0

Вероятно, это связано с тем, что ваш сервер ключей ssh ​​изменился, поскольку IP-адрес или домен сервера совпадают, но несоответствие ключей ssh.

Вы должны удалить сохраненный ключ, /home/$user/.ssh/known_hostsчтобы избежать этого сообщения.

Я исправил это, удалив все ключи в этом файле, поэтому для этого доменного имени был создан новый токен.

IvanReed
источник
1
Ключ изменился производит много нелицеприятного сообщение с коробкой atsigns и WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! и IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!во всех колпачках. Сообщение в вопросе появляется, только если в нем еще нет записи known_hosts.
dave_thompson_085
-1

Проверьте разрешения для вашего ~/.ssh/known_hostsфайла. Мои были неверны, когда я получил эту проблему. Я исправил это с помощью:

chmod 0600 ~/.ssh/known_hosts
Эндрю МакКомб
источник