Skopiuj klucze ssh z jednego serwera na inny serwer

Mam serwer (załóżmy, że jego adres IP to abcd), który pozwala użytkownikom zalogować się przez ssh. Teraz chcę zmienić fizyczną maszynę, zachowując IP bez zmian. Aby nowy komputer był nadal dostępny dla takiego użytkownika

$ ssh abcd

Problem polega na tym, że za każdym razem, gdy jeden użytkownik próbuje się zalogować, pojawia się następujący błąd niedopasowania klucza ssh.

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@
@ OSTRZEŻENIE: ZMIENIŁO SIĘ ZDALNA IDENTYFIKACJA HOSTA! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@
JEST MOŻLIWE, ŻE KTOŚ KORZYSTA Z NIESAMOWITEJ!
Ktoś może cię teraz podsłuchiwać (atak człowieka w środku)!
Możliwe jest również, że klucz hosta RSA został właśnie zmieniony.
Odcisk palca dla klucza RSA wysłanego przez zdalny host to
02: dc: c6: 18: 1b: 34: b7: 1d: fa: 90: ab: e1: 95: 48: 69: 84.
Skontaktuj się z administratorem systemu.
Dodaj poprawny klucz hosta w /home/user/.ssh/known_hosts, aby pozbyć się tej wiadomości.
Obrażanie klucza w /home/user/.ssh/known_hosts:37
Klucz hosta RSA dla absolwentów został zmieniony i zażądano dokładnego sprawdzenia.
Weryfikacja klucza hosta nie powiodła się.

Wiem, że użytkownik może usunąć wiersz # 37 z pliku ~ / .ssh / known_hosts i następnym razem otrzyma monit o tak / nie. Chcę, aby użytkownik był nieświadomy tej wymiany całego urządzenia i otrzymał monit o podanie hasła.

Jak to zrobić?

Jak wspomniano w Ethabell , możesz skopiować aktualne klucze hosta na nowy serwer.

Możesz znaleźć klucze hosta, otwierając sshd_configplik (w pudełku mojego Ubuntu 12.04 /etc/ssh/sshd_config). W pliku konfiguracyjnym poszukaj HostKeywpisów. Te wpisy powiedzą ci, gdzie znajdują się pliki kluczy hosta. Powinieneś być w stanie skopiować te pliki na nowy serwer i zaktualizować nowy serwer, sshd_configaby wskazywał na skopiowane klucze (lub po prostu nadpisać pliki, które już istnieją na nowym serwerze).

Zwróć też uwagę na tę sekcję ze strony podręcznika sshd_config, w szczególności część dotyczącą uprawnień:

Określa plik zawierający prywatny klucz hosta używany przez SSH. Domyślną wartością jest /etc/ssh/ssh_host_keydla protokołu w wersji 1, a /etc/ssh/ssh_host_dsa_key, /etc/ssh/ssh_host_ecdsa_keya /etc/ssh/ssh_host_rsa_keydla wersji protokołu 2. Należy pamiętać, że sshd (8) odmówi użyć pliku, jeśli jest to grupa / świat inwalidzkim. Możliwe jest posiadanie wielu plików kluczy hosta. Klucze „rsa1” są używane w wersji 1, a „dsa”, „ecdsa” lub „rsa” są używane w wersji 2 protokołu SSH.

Jeśli posiadasz oryginalny klucz hosta, możesz go przywrócić, co zatrzyma błąd.

Lub możesz wyłączyć StrictHostKeyChecking w pliku konfiguracyjnym sshd.

... Robienie tego jest jednak okropnym, okropnym pomysłem. Jeśli istnieje sposób, aby po prostu uruchomić się ssh-keygen -R server.example.comna komputerach klienckich, byłby to najlepszy sposób - ponieważ wyłączenie sprawdzania klucza hosta jest jak powiedzenie: „Hej. Zaatakuj mnie”. Kiedy coś się zmienia, chcę być niejasny, ale bezpieczeństwo powinno być priorytetem nr 1 w stosunku do ukrywania zmian.

Możesz spróbować w ten sposób

cat ~/.ssh/id_rsa.pub | ssh <user>@<hostname> 'cat >> .ssh/authorized_keys && echo "Key copied"' 

Zauważ, że jeśli folder .ssh jeszcze nie istnieje, powyższe polecenie zakończy się niepowodzeniem. Ponadto przy tworzeniu pliku może być lepsze ustawienie minimalnego możliwego uprawnienia (w zasadzie tylko do odczytu i zapisu tylko dla właściciela). Oto bardziej zaawansowane polecenie:

cat ~/.ssh/id_rsa.pub | ssh <user>@<hostname> 'umask 0077; mkdir -p .ssh; cat >> .ssh/authorized_keys && echo "Key copied"'

Aby uzyskać więcej informacji na temat tego problemu, musisz przejść do tej witryny: Błąd zmiany klucza hosta SSH