转-处理ssh警告REMOTE HOST IDENTIFICATION HAS CHANGED
本文转自 知乎
SSH或Secure Shell,是一种通常通过命令行安全访问远程计算机的非常常用的方法。它旨在确保连接以及所有传递的数据都不会被窃听。为了达到这个目的,常见的SSH客户端(例如OpenSSH)内置了许多检查,以确保我们发起的连接的安全性不会受到损害。
今天要探讨的就是这些检查之一,这个警告会在服务器的指纹被更改后显示:
1 | ssh ec2-user@ec2-192-168-1-1.compute-1.amazonaws.com |
当我们通过SSH连接到服务器时,ssh将获得ECDSA密钥的指纹,然后将其保存到〜/ .ssh / known_hosts下的主目录中。这是在首次连接到服务器后完成的,并且将通过以下消息作出提示:
1 | ssh ec2-user@ec2-192-168-1-1.compute-1.amazonaws.com |
如果我们这时候输入“yes”,指纹将会保存到known_hosts文件,之后每次连接到该服务器时,SSH都会查询该文件。
但是,如果自上次连接服务器以来,服务器的ECDSA密钥被更改了,会发生什么情况呢?服务器密钥发生变化是一种值得警惕的事件,因为这实际上可能意味着我们在不知情下正在连接到另一台服务器。如果这台新服务器是恶意的,则它将能够查看所有连接中发送和收到的的数据,任何拥有这台服务器的人都可以看到这些数据。这很可能是一种***中间人攻击***。因此ssh就会提示出上面的那个警告,告诉我们服务器的密钥与之前储存的不同。
当然,出现这个情况并非一定意味着我们被黑客攻击了,ECDSA密钥指纹更改服务器的原因很多。就我自己的经历而言,我在AWS上有一个弹性IP地址,并在重新部署我们的应用程序后将其分配给其他服务器。我连接到的IP地址和主机名相同,但是底层服务器不同,这也使得SSH客户端发出这个警告。
解决这个问题
如果我们100%确定这歌密钥的修改是正常行为(比如在询问过服务器管理员之后)并且没有潜在的安全问题,那我们就需要解决这个警告,否则就无法建立ssh链接。
1. 通过known_hosts手动删除原来的密钥
在警告消息中,我们可以找到被修改过的ECDSA密钥在known_hosts文件中的位置的行。在我的示例中,该行表示“Offending ECDSA key in /Users/scott/.ssh/known_hosts:47”,即在第47行。 我们只需要打开警告消息中指定的known_hosts文件, 删除警告消息中指定的行即可。 通过删除这一行,本地的SSH客户端将不再有可比较的ECDSA密钥指纹,因此将在下次连接时再次要求您验证服务器的真实性,即相当于第一次链接。完成后,您将在此服务器的known_hosts文件中拥有一个新指纹,即服务器的当前指纹。
2. 使用ssh-keygen解决
另一种解决方案是使用ssh-keygen从known_hosts文件中删除有问题的密钥,这可以通过以下命令完成:
1 | ssh-keygen -R [hostname-or-IP] |
在我的示例中:
1 | $ ssh-keygen -R ec2-192-168-1-1.compute-1.amazonaws.com |
这个方法比起前一个使我们不需要手动打开并修改known_hosts文件,因此更为简便;如果要修复多个主机名和IP地址,则该方法更易于使用。