ssh-keyscan - Toujours soutenu par. Authenticité hôte "[Nom d'hôte] ([Adresse IP])» ne peut pas être installé

J'écris un script pour une installation à distance rsync, Et je dois ajouter un serveur distant à un fichier local. known_hosts, Pour démarrer le script, les demandes suivantes ne sont pas affichées:

Authenticité hôte "[Nom d'hôte] ([Adresse IP])» Ne peut pas être installé. Imprimé clé RSA - C'est [imprimé clé]. Êtes-vous sûr de vouloir continuer la connexion (Oui / ne pas)?

Selon
https://serverfault.com/questi ... hosts
J'ai essayé (Avec un fichier frais known_hosts):

ssh-keyscan -H [hostname],[ip_address] >> ~/.ssh/known_hosts
ssh-keyscan -H [ip_address] >> ~/.ssh/known_hosts
ssh-keyscan -H [hostname] >> ~/.ssh/known_hosts

Mais cela ne fonctionne pas, j'offre toujours de prendre une empreinte digitale.

Quand je permets ssh Ajoutez-le pour moi, clé de hachage dans le fichier know_hosts C'est très différent.

Que dois-je faire d'autre pour éliminer ce problème?
Invité:

Catherine

Confirmation de:

Essaye ça:

ssh-keyscan -t rsa [ip_address]

Prenez le résultat et insérez-le dans .ssh / known_hosts. Maintenant, si vous voulez hacher known_hosts, Effectuez ce qui suit:

ssh-keygen -H

Éditer:

Voici la seule solution à l'équipe. Il utilise le nom d'hôte, les adresses IP et le hashi.

ssh-keyscan -Ht rsa [hostname],[IP address] >> known_hosts

Catherine

Confirmation de:

Répondre kschurig Cela fonctionnera, mais pas nécessairement le plus sûr. Il reçoit vraiment des points de bonus pour un mile supplémentaire, vous permettant d'identifier le serveur plus d'un URI, C'est-à-dire par le nom de l'hôte et de l'adresse IP. C'est-à-dire que vous pouvez continuer à ajouter valide URI Cet hôte, élargissant la liste séparée par des virgules.

Cependant, je cherchais une chance chanceuse de contourner l'interaction manuelle inconnue de l'hôte lors du clonage du référentiel git, Comme indiqué ci-dessous, cela devrait aider à expliquer ce qui se passe et comment vous pouvez éviter cette partie du scénario de certaines choses liées à SSH:

brad@computer:~$ git clone git@bitbucket.org:viperks/viperks-api.git
Cloning into 'viperks-api'...
The authenticity of host 'bitbucket.org (104.192.143.3)' can't be established.
RSA key fingerprint is 97:8c:1b:f2:6f:14:6b:5c:3b:ec:aa:46:46:74:7c:40.
Are you sure you want to continue connecting (yes/no)?

Faites attention à l'empreinte clé RSA ...

Donc, c'est SSH, Cela fonctionnera pour git de l'autre côté SSH et juste pour les choses liées à SSH en général ...

brad@computer:~$ nmap bitbucket.org --script ssh-hostkey

Starting Nmap 7.01 ( [url=https://nmap.org]https://nmap.org[/url] ) at 2016-10-05 10:21 EDT
Nmap scan report for bitbucket.org (104.192.143.3)
Host is up (0.032s latency).
Other addresses for bitbucket.org (not scanned): 104.192.143.2 104.192.143.1 2401:1d80:1010::150
Not shown: 997 filtered ports
PORT STATE SERVICE
22/tcp open ssh
| ssh-hostkey:
| 1024 35:ee:d7:b8:ef:d7:79:e2:c6:43:9e:ab:40:6f:50:74 (DSA)
|_ 2048 97:8c:1b:f2:6f:14:6b:5c:3b:ec:aa:46:46:74:7c:40 (RSA)
80/tcp open http
443/tcp open https

Nmap done: 1 IP address (1 host up) scanned in 42.42 seconds

Première installation nmap Sur votre conducteur quotidien. Nmap très utile pour certaines choses, telles que la découverte de ports ouverts et il - Vérification des impressions SSH manuellement. Mais retour à ce que nous faisons.

D'accord. Soit je suis compromis à plusieurs endroits et sur les machines que j'ai vérifiées, ou il y a une explication plus crédible que tout ce que je suis Krenovo, Dori.

Cette "empreinte digitale" - Il s'agit simplement d'une chaîne abrégée d'un algorithme à un côté pour la commodité d'une personne, tandis que plusieurs lignes seront converties dans la même empreinte digitale. Cela se produit, ils s'appellent des conflits.

Néanmoins, retour à la ligne d'origine, que nous pouvons voir dans le contexte ci-dessous.

brad@computer:~$ ssh-keyscan bitbucket.org
# bitbucket.org SSH-2.0-conker_1.0.257-ce87fba app-128
no hostkey alg
# bitbucket.org SSH-2.0-conker_1.0.257-ce87fba app-129
bitbucket.org ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAubiN81eDcafrgMeLzaFPsw2kNvEcqTKl/VqLat/MaB33pZy0y3rJZtnqwR2qOOvbwKZYKiEO1O6VqNEBxKvJJelCq0dTXWT5pbO2gDXC6h6QDXCaHo6pOHGPUy+YBaGQRGuSusMEASYiWunYN0vCAI8QaXnWMXNMdFP3jHAJH0eDsoiGnLPBlBp4TNm6rYI74nMzgz3B9IikW4WVK+dc8KZJZWYjAuORU3jc1c/NPskD2ASinf8v3xnfXeukU0sJ5N6m5E8VLjObPEO+mN2t/FZTMZLiFqPWc/ALSqnMnnhwrNi2rbfg/rd/IpL8Le3pSBne8+seeFVBoGqzHM9yXw==
# bitbucket.org SSH-2.0-conker_1.0.257-ce87fba app-123
no hostkey alg

Ainsi, à l'avance, nous avons un moyen de demander le formulaire d'identification de l'hôte source.

À ce stade, nous sommes automatiquement vulnérables, comme automatiquement - Des lignes correspondons, nous avons des données de base qui créent une empreinte digitale et nous pourrions demander ces données de base. (Prévenir les conflits) dans le futur.

Maintenant, pour utiliser cette ligne afin de ne pas poser de questions sur l'authenticité de l'hôte ...

Dans ce cas, le fichier known_hosts N'utilise pas d'entrées sous forme de texte ouvert. Vous apprendrez des enregistrements détestés lorsque vous les voyez, ils ressemblent à Hashi avec des symboles aléatoires à la place xyz.com ou 123.45.67.89.

brad@computer:~$ ssh-keyscan -t rsa -H bitbucket.org
# bitbucket.org SSH-2.0-conker_1.0.257-ce87fba app-128
|1|yr6p7i8doyLhDtrrnWDk7m9QVXk=|LuKNg9gypeDhfRo/AvLTAlxnyQw= ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAubiN81eDcafrgMeLzaFPsw2kNvEcqTKl/VqLat/MaB33pZy0y3rJZtnqwR2qOOvbwKZYKiEO1O6VqNEBxKvJJelCq0dTXWT5pbO2gDXC6h6QDXCaHo6pOHGPUy+YBaGQRGuSusMEASYiWunYN0vCAI8QaXnWMXNMdFP3jHAJH0eDsoiGnLPBlBp4TNm6rYI74nMzgz3B9IikW4WVK+dc8KZJZWYjAuORU3jc1c/NPskD2ASinf8v3xnfXeukU0sJ5N6m5E8VLjObPEO+mN2t/FZTMZLiFqPWc/ALSqnMnnhwrNi2rbfg/rd/IpL8Le3pSBne8+seeFVBoGqzHM9yXw==

La première ligne de commentaire appelant irritation apparaît, mais vous pouvez vous en débarrasser à l'aide de la redirection simple à l'aide de l'accord ">" ou ">>".

Comme je l'ai fait tout ce qui est possible pour que les données incitables soient utilisées pour identifier "Héberger" et confiance, je vais ajouter cette identification à votre dossier. known_hosts Dans mon catalogue ~ / .ssh. Depuis lors, il sera identifié comme un propriétaire célèbre, je n'aurai pas la demande ci-dessus, quand vous étiez jeune homme.

Merci d'avoir séjourné avec moi, prêt. J'ajoute une clé RSA bitbucket, Donc, je peux interagir avec mes référentiels git en mode non interactif dans le cadre du flux de travail CI, Mais tout ce que tu fais ce que tu veux.

#!/bin/bash
cp ~/.ssh/known_hosts ~/.ssh/known_hosts.old && echo "|1|yr6p7i8doyLhDtrrnWDk7m9QVXk=|LuKNg9gypeDhfRo/AvLTAlxnyQw= ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAubiN81eDcafrgMeLzaFPsw2kNvEcqTKl/VqLat/MaB33pZy0y3rJZtnqwR2qOOvbwKZYKiEO1O6VqNEBxKvJJelCq0dTXWT5pbO2gDXC6h6QDXCaHo6pOHGPUy+YBaGQRGuSusMEASYiWunYN0vCAI8QaXnWMXNMdFP3jHAJH0eDsoiGnLPBlBp4TNm6rYI74nMzgz3B9IikW4WVK+dc8KZJZWYjAuORU3jc1c/NPskD2ASinf8v3xnfXeukU0sJ5N6m5E8VLjObPEO+mN2t/FZTMZLiFqPWc/ALSqnMnnhwrNi2rbfg/rd/IpL8Le3pSBne8+seeFVBoGqzHM9yXw==" >> ~/.ssh/known_hosts

Alors, c'est comme ça que tu restes une vierge aujourd'hui. Vous pouvez faire la même chose avec github, Suite à des instructions similaires à un moment opportun pour vous.

J'ai vu autant de messages sur le débordement de la pile, dans lequel il a été proposé d'ajouter de manière programmée à une clé aveugle sans aucun chèque. Plus vous vérifiez la clé de différentes machines de différents réseaux, plus vous aurez la confiance dans le fait que l'hôte - C'est celui qui dit - Et c'est la meilleure chose que vous puissiez espérer ce niveau de sécurité.

MAL

ssh -oStrictHostKeyChecking = Sans nom d'hôte [Équipe]

MAL

ssh-keyscan -t rsa -H Nom d'hôte >> ~ / .ssh / known_hosts

S'il vous plaît ne faites rien de ce qui précède. Vous avez la possibilité d'augmenter vos chances d'éviter que vos transferts de données soient à l'aide d'une personne située au centre de l'attaque. - Profiter de cette opportunité. La différence est de confirmer littéralement que la clé RSA, Ce que vous avez est la clé d'un serveur de bonne foi, et vous savez maintenant comment obtenir ces informations pour les comparer afin de pouvoir faire confiance à la connexion. Rappelez-vous simplement que plus de comparaisons de différents ordinateurs et réseaux augmentent généralement votre capacité à faire confiance au composé.

Pour répondre aux questions, connectez-vous ou registre