Kann ich die SSH-Hostschlüsselüberprüfung mit einem Round-Robin-DNS verwenden?

2541
Coderer

Ich melde mich bei einem Server an, der auf einem Round-Robin-DNS-Hostnamen basiert - "login.example.com" kann auf eine Reihe von Servern gehen. Im Idealfall möchte ich meine known_hosts-Datei so aktualisieren können, dass das Erreichen einer beliebigen Maschine ohne Warnung / Fehler möglich ist. Allerdings wäre ein Fallback der Fall, wenn alle Server den gleichen Fingerabdruck anzeigen lassen / host key. Ich habe Beiträge wie diese gesehen, aber "Wählen Sie eine einzige statische IP-Adresse zum Anmelden" ist nicht wirklich eine Option. Ich hätte gerne eine echte Lösung, wenn es eine gibt.

3

3 Antworten auf die Frage

3
Spiff

Wenn Sie keine sichere Methode zur Unterscheidung zwischen Computern im Round-Robin-Cluster benötigen, kopieren Sie einfach den einen Hostschlüssel auf die einzelnen Computer im Cluster.

Das bedeutet, dass Sie bei der Überprüfung des SSH-Host-Schlüssels sicher sind, dass er sich im Cluster befindet, aber nicht sicher, um welche bestimmte Maschine sich der Cluster handelt. Sie können sich auf die statische IP-Adresse (oder die Ausgabe von hostname) als nicht sichere Methode zur Unterscheidung zwischen Computern im Cluster verlassen.

1
Ghatothkach Yadav

Das ist was ich gefunden habe ...

  1. Löschen Sie alle vorhandenen Einträge für den Host in ~ / .ssh / known_hosts
  2. Erhalten Sie eine vollständige Liste der IP-Adressen, denen der Host zugeordnet ist, und anschließend für jede IP-Adresse ...
ssh-keyscan -H -t rsa 10.X.X.X >> ~/.ssh/known_hosts

dann sehen Sie kein Problem mehr ... wenn Sie den Hostnamen mit verwenden

SSH-Hostname.

G

0
LassePoulsen

Es gibt keine wirklich gute Möglichkeit, dies zu tun, da mit ssh sichergestellt wird, dass keine Gefahr von DNS-Spoofing besteht. Das heißt, Sie können diese Problemumgehung verwenden:

ssh $(nslookup login.example.com | grep -v '#' | grep -m1 '^Address:' | cut -d \ -f 2)

Im Grunde wird die IP-Adresse nachgeschlagen und dann die IP-Adresse anstelle des Hostnamens verwendet. Dadurch sollten Sie Probleme beseitigen, es sei denn, die Server ändern auch die IP-Adressen.

Verwandte Probleme