🎄teratailクリスマスプレゼントキャンペーン2024🎄』開催中!

\teratail特別グッズやAmazonギフトカード最大2,000円分が当たる!/

詳細はこちら
CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

SSH

SSH(Secure Shell)は、セキュアチャネルを通してデータを交換するためのネットワークプロトコルです。リモートサーバーへのコマンド実行やファイル転送を行う時に一般的に使用されます。

Q&A

解決済

4回答

2451閲覧

異なるセグメントなのに同じIPだと公開鍵認証SSH接続できない?

tiqua_nibio

総合スコア62

CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

SSH

SSH(Secure Shell)は、セキュアチャネルを通してデータを交換するためのネットワークプロトコルです。リモートサーバーへのコマンド実行やファイル転送を行う時に一般的に使用されます。

0グッド

0クリップ

投稿2019/11/04 12:48

こちら、二軒の家の中にネットワークをそれぞれ設置しています。

どちらの家にも同じIPアドレス(192.168.100.50)でCentOSが動いています。

実は、最近問題に出くわしました。
私はノートパソコンを持ち歩いて、どちらの家のCentOSにもSSH接続して利用しています。最近、パスワード認証をやめて、公開鍵認証に切り替えました。

ssh -p 22 shiyousha@192.168.100.50

で家Aでは使えていたものが、家Bでは使えないことがわかりました(先に家Aで接続し、次に家Bで接続しました)。ですが、家BではIPアドレスは変えたくないのです(家Aも変えたくないのです)。

ちなみに、どちらも別々の公開鍵(同じではないです)を生成し、各CentOSの.sshディレクトリ内のauthorized_keysに登録済です。

同じIPアドレスだと、こういうことが起こるのかもしれないのですが、回避策はありますでしょうか?

エラーメッセージです。

Bash

1@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ 2@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ 3@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ 4IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! 5Someone could be eavesdropping on you right now (man-in-the-middle attack)! 6It is also possible that a host key has just been changed. 7The fingerprint for the ECDSA key sent by the remote host is 8SHA256:gferafergeawgregr. 9Please contact your system administrator.

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答4

0

StrictHostKeyCheckingを使ってみてはどうでしょうか
sshには大量にオプションがありまるのでマニュアルのオプションの頁を参照してみてください
https://qiita.com/liubin/items/654ea5ace65a8c3cc56b

投稿2019/11/04 14:20

hentaiman

総合スコア6426

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

doda

2019/11/06 08:46

StrictHostKeyCheckingをnoにしても、ホスト鍵が違う場合はパスワード認証が行えなくなるという点には注意する必要が有ります。 今回の場合は公開鍵認証を使うので問題ないですが、要件によっては問題となる可能性があります。 他の方法が取れない場合はしょうがないですが、個人的にはあまりお勧めできない設定です。
hentaiman

2019/11/06 13:14

通常の利用者に対して推奨できない方法である事は同意です パスワード認証出来なくなるのは知りませんでした 回避策かどうかはともかく、他の回答のコメントにあるようにホスト名分けるのが無難だとは思います (自分なら多分そうしてる)
guest

0

面白い質問ですね。
未検証ですが、hosts を使用して、適当な別々な名前を 192.168.100.50 に割り当ててみてはどうでしょう?
別のホスト名であれば、別の接続として認識される気がします。

投稿2019/11/06 06:45

退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2019/11/06 06:46

あー otn さんが既にコメントしてましたね。失礼^^;
tiqua_nibio

2019/11/06 06:56

ありがとうございます。でも、的確な解答かと存じます。
doda

2019/11/06 08:22

デフォルトではホスト名の名前解決を行った結果のIPアドレスでもホスト鍵のチェックを行い、IPアドレスでのホスト鍵が違った場合は確認のプロンプトが出ます。 この場合はyesと入力すれば接続はできますが、IPアドレスでのホスト鍵が違う間は毎回確認のプロンプトが出ます。 CheckHostIp を no にすればこのIPアドレスでの確認が止められますが、全体で止めるのはセキュリティ的に問題が有るので、~/.ssh/config に以下のような設定を追加して個別のホストでのみ止めるのがいいでしょう。 Host host-a CheckHostIp no
退会済みユーザー

退会済みユーザー

2019/11/06 08:31

> tiqua_nibio さん 手元にすぐ環境が作れなかったので、「実環境ある人が試してみてくれると嬉しいな」って思いつきの丸投げ回答でした^^; うまくいったみたいで何よりです。 > doda さん フォローありがとうございます。
guest

0

ちなみに、どちらも別々の公開鍵(同じではないです)を生成し、各CentOSの.sshディレクトリ内のauthorized_keysに登録済です。

原因はこれです。
通常、SSHで公開鍵認証を行う時、クライアント側はサーバーから来た公開鍵のフィンガープリント(指紋)を覚えておきます。

何故なら、同じホスト名(IPアドレス)に接続したつもりでも、別のサーバーにアクセスさせられてしまうことがありえるからです。(いわゆる、中間者攻撃)

なので、同じホスト名でアクセスした場合、同じ公開鍵であるかどうかを確認するためにクライアントは保存しておいたフィンガープリントが一致しているか確認します。

今回は、IPアドレスが同じなのに別の公開鍵がサーバーから来たので警告を出しているのです。

もし、こういう警告を出したくない場合は、家Aからアクセスする場合も、家Bからアクセスする場合も同じIPアドレスで接続したいのであれば、同じ公開鍵と秘密鍵でアクセスすべきです。

投稿2019/11/05 02:41

LineOfLightning

総合スコア253

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

doda

2019/11/05 04:16

ホスト公開鍵と認証用の公開鍵を混同していませんか? ~/.ssh/authorized_keys に登録するのは認証用の公開鍵であって、ホスト公開鍵ではありません。
LineOfLightning

2019/11/05 05:15 編集

SSH認証用の公開鍵であってもフィンガープリントが一致するかクライアント側で確認すると思っていますが、何か誤解ありますか?
doda

2019/11/05 06:00

いいえ、行いません。SSHの公開鍵認証の流れは、(C:クライアント, S:サーバ) C: この公開鍵は使える? S: 使えるよ or 使えないよ C: この公開鍵で認証して。認証情報はこれね。 S: 認証OKだよ or NGだよ となっていて、手元にある公開鍵が使えるかは確認できますが、サーバ側のauthorized_keysにどんな鍵が登録されているかは確認できない(サーバからは認証用の公開鍵は送られない)ようになっています。
LineOfLightning

2019/11/05 06:47

なるほど。勘違いしていました。 認証の前にSSHのセッションを確立させるために「/etc/ssh/ssh_host_rsa_key.pub」等の公開鍵を使って、共通鍵を暗号化して送ってるんですね。
tiqua_nibio

2019/11/06 06:33

詳しく説明していただき、ありがとうございます。
doda

2019/11/06 08:38

これもよく有る誤解なのですが、共通鍵を共有するのにホスト鍵での暗号化は使われません。最近よく使われるecdsa鍵やEd25519鍵が署名の為の公開鍵方式であり、暗号化を行えない事を考えれば分かりやすいと思います。 SSHでは共通鍵の共有にはDHやECDH等の鍵共有プロトコルが使われます。 ただこの鍵共有プロトコルでは本当に正しいサーバとの間で鍵共有を行っているのか、また鍵共有の手順が途中で改竄されていないかを確認できません。 その為、サーバは鍵共有の最終段階で共有した共通鍵や鍵共有での通信内容をつなげた物にホスト鍵で署名を行い、クライアントは正しいホスト鍵で署名されたかを検証して鍵共有で不正が行われなかった事を確認します。
guest

0

ベストアンサー

おそらく、fingerprintが違うことが原因だと思うので、両方で/etc/ssh/ssh_host*を同じにすればいいかもしれません。未確認ですが。

投稿2019/11/04 13:02

otn

総合スコア85882

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

otn

2019/11/04 13:37

> ちなみに、どちらも別々の公開鍵(同じではないです)を生成し、 1クライアントで複数の鍵ペアを持っているということですか?なぜでしょう?
tiqua_nibio

2019/11/06 04:35

返信が遅くなりすいません。1クライアントであれば、例えばecdsa1個だけあれば複数のサーバに同じ鍵を登録すればいいということでしょうか。
otn

2019/11/06 06:20

> 複数のサーバに同じ鍵を登録すればいいということでしょうか。 普通はそうですね。
otn

2019/11/06 06:31

クライアントの~/.ssh/known_hostsを書き換えてsshを実行してみると、同様のメッセージが出てコマンドが実行されませんので、やはりfingerprintが原因と思います。 他の回答にある StrictHostKeyChecking=no だと、メッセージが出た上で実行されますね。 メッセージが出て良ければそれで、クライアント側だけで対応できます。 メッセージを出さないためには、回答に書いたようにサーバー側のホストキー /etc/ssh/ssh_host_rsa_key.pub を同一にするしかないと思います。
tiqua_nibio

2019/11/06 06:32

両方のサーバで、/etc/ssh/ssh_host*を同じにしてみましたら、接続できるようになりました。 いったん、鍵の整理をしてみます。1個で良いということなので。
otn

2019/11/06 06:34

他の案としては、クライアント側でhostsファイルでそのIPアドレスに複数のホスト名を付けて、IPアドレスでなく異なるサーバーには異なるホスト名で接続に行けば、known_hostsの記録上は別物として記録されて、大丈夫だと思います。
otn

2019/11/06 06:36

あ、もう同じにしちゃったんですね。 運用的に可能なら、上に書いた「他の案」の方が自然な気がします。
tiqua_nibio

2019/11/06 06:37

なるほど、ホスト名という方法もあるのですね。
tiqua_nibio

2019/11/06 06:38

2台のCent OS 7.0にそれぞれホスト名をつけてあげることにします。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.36%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問