Comment gérer la vérification de la clé d'hôte ssh avec 2 hôtes différents sur la même adresse IP (mais changeante) ?[fermé]
-
06-09-2019 - |
Question
J'ai 2 serveurs ssh derrière un pare-feu nat à un emplacement qui change son adresse IP wan chaque jour.Ils sont toujours à la même adresse IP wan à un moment donné mais sur des ports différents.
Je me connecte au serveur A de cette façon :
ssh -p 22001 karl@x1.example.com
et au serveur B :
ssh -p 22002 karl@x2.example.com
J'obtiens donc 2 clés d'hôte différentes pour la même IP, et aussi lorsque l'IP change, même une IP différente pour le même hôte.
Je dois continuer à supprimer encore et encore l'autre clé ou l'ancienne clé (en cas de changement d'IP) dans le fichier known_hosts.
J'hésite à désactiver la vérification des clés, car ce serait moins sécurisé.Mais recevoir un avertissement à tout moment n’est pas non plus sécurisé (car j’ignore alors ces avertissements tout le temps).Existe-t-il une meilleure solution ?
Ceci est lié à mon ancienne question ici mais pas la même :
Message d'avertissement de connexion SSH sur un serveur avec 2 noms DNS
La solution
Je pense que cela fonctionnera :
Créer un config
fichier dans votre .ssh
répertoire comme suit :
Host server1
Hostname x1.example.com
HostKeyAlias server1
CheckHostIP no
Port 22001
User karl
Host server2
Hostname x2.example.com
HostKeyAlias server2
CheckHostIP no
Port 22002
User karl
Explication ci-dessous (de man ssh_config
)
VérifierHostIP
Si ce drapeau est défini sur "Oui", SSH (1) vérifiera également l'adresse IP hôte dans le fichier connu_hosts.Cela permet à SSH de détecter si une clé hôte a changé en raison de l'usurpation DNS.Si l'option est définie sur "non", le chèque ne sera pas exécuté.La valeur par défaut est "oui".
AliasCléHôte
Spécifie un alias qui doit être utilisé à la place du nom d'hôte réel lors de la recherche ou de l'enregistrement de la touche hôte dans les fichiers de base de données de la clé d'hôte.Cette option est utile pour les connexions SSH à tunnel ou pour plusieurs serveurs exécutés sur un seul hôte.
Le Username
et Port
line vous évite également d'avoir à donner ces options sur la ligne de commande, vous pouvez donc simplement utiliser :
% ssh server1
% ssh server2