Q&A
あー otn さんが既にコメントしてましたね。失礼^^;
こちら、二軒の家の中にネットワークをそれぞれ設置しています。
どちらの家にも同じIPアドレス(192.168.100.50)でCentOSが動いています。
実は、最近問題に出くわしました。
私はノートパソコンを持ち歩いて、どちらの家のCentOSにもSSH接続して利用しています。最近、パスワード認証をやめて、公開鍵認証に切り替えました。
ssh -p 22 shiyousha@192.168.100.50
で家Aでは使えていたものが、家Bでは使えないことがわかりました(先に家Aで接続し、次に家Bで接続しました)。ですが、家BではIPアドレスは変えたくないのです(家Aも変えたくないのです)。
ちなみに、どちらも別々の公開鍵(同じではないです)を生成し、各CentOSの.sshディレクトリ内のauthorized_keysに登録済です。
同じIPアドレスだと、こういうことが起こるのかもしれないのですが、回避策はありますでしょうか?
エラーメッセージです。
Bash
1@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ 2@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ 3@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ 4IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! 5Someone could be eavesdropping on you right now (man-in-the-middle attack)! 6It is also possible that a host key has just been changed. 7The fingerprint for the ECDSA key sent by the remote host is 8SHA256:gferafergeawgregr. 9Please contact your system administrator.
回答4件
0
StrictHostKeyCheckingを使ってみてはどうでしょうか
sshには大量にオプションがありまるのでマニュアルのオプションの頁を参照してみてください
https://qiita.com/liubin/items/654ea5ace65a8c3cc56b
投稿2019/11/04 14:20
総合スコア6415
0
面白い質問ですね。
未検証ですが、hosts を使用して、適当な別々な名前を 192.168.100.50 に割り当ててみてはどうでしょう?
別のホスト名であれば、別の接続として認識される気がします。
投稿2019/11/06 06:45
退会済みユーザー
総合スコア0
ありがとうございます。でも、的確な解答かと存じます。
デフォルトではホスト名の名前解決を行った結果のIPアドレスでもホスト鍵のチェックを行い、IPアドレスでのホスト鍵が違った場合は確認のプロンプトが出ます。
この場合はyesと入力すれば接続はできますが、IPアドレスでのホスト鍵が違う間は毎回確認のプロンプトが出ます。
CheckHostIp を no にすればこのIPアドレスでの確認が止められますが、全体で止めるのはセキュリティ的に問題が有るので、~/.ssh/config に以下のような設定を追加して個別のホストでのみ止めるのがいいでしょう。
Host host-a
CheckHostIp no
> tiqua_nibio さん
手元にすぐ環境が作れなかったので、「実環境ある人が試してみてくれると嬉しいな」って思いつきの丸投げ回答でした^^;
うまくいったみたいで何よりです。
> doda さん
フォローありがとうございます。
0
ちなみに、どちらも別々の公開鍵(同じではないです)を生成し、各CentOSの.sshディレクトリ内のauthorized_keysに登録済です。
原因はこれです。
通常、SSHで公開鍵認証を行う時、クライアント側はサーバーから来た公開鍵のフィンガープリント(指紋)を覚えておきます。
何故なら、同じホスト名(IPアドレス)に接続したつもりでも、別のサーバーにアクセスさせられてしまうことがありえるからです。(いわゆる、中間者攻撃)
なので、同じホスト名でアクセスした場合、同じ公開鍵であるかどうかを確認するためにクライアントは保存しておいたフィンガープリントが一致しているか確認します。
今回は、IPアドレスが同じなのに別の公開鍵がサーバーから来たので警告を出しているのです。
もし、こういう警告を出したくない場合は、家Aからアクセスする場合も、家Bからアクセスする場合も同じIPアドレスで接続したいのであれば、同じ公開鍵と秘密鍵でアクセスすべきです。
投稿2019/11/05 02:41
総合スコア253
ホスト公開鍵と認証用の公開鍵を混同していませんか?
~/.ssh/authorized_keys に登録するのは認証用の公開鍵であって、ホスト公開鍵ではありません。
SSH認証用の公開鍵であってもフィンガープリントが一致するかクライアント側で確認すると思っていますが、何か誤解ありますか?
いいえ、行いません。SSHの公開鍵認証の流れは、(C:クライアント, S:サーバ)
C: この公開鍵は使える?
S: 使えるよ or 使えないよ
C: この公開鍵で認証して。認証情報はこれね。
S: 認証OKだよ or NGだよ
となっていて、手元にある公開鍵が使えるかは確認できますが、サーバ側のauthorized_keysにどんな鍵が登録されているかは確認できない(サーバからは認証用の公開鍵は送られない)ようになっています。
なるほど。勘違いしていました。
認証の前にSSHのセッションを確立させるために「/etc/ssh/ssh_host_rsa_key.pub」等の公開鍵を使って、共通鍵を暗号化して送ってるんですね。
詳しく説明していただき、ありがとうございます。
これもよく有る誤解なのですが、共通鍵を共有するのにホスト鍵での暗号化は使われません。最近よく使われるecdsa鍵やEd25519鍵が署名の為の公開鍵方式であり、暗号化を行えない事を考えれば分かりやすいと思います。
SSHでは共通鍵の共有にはDHやECDH等の鍵共有プロトコルが使われます。
ただこの鍵共有プロトコルでは本当に正しいサーバとの間で鍵共有を行っているのか、また鍵共有の手順が途中で改竄されていないかを確認できません。
その為、サーバは鍵共有の最終段階で共有した共通鍵や鍵共有での通信内容をつなげた物にホスト鍵で署名を行い、クライアントは正しいホスト鍵で署名されたかを検証して鍵共有で不正が行われなかった事を確認します。
0
ベストアンサー
おそらく、fingerprintが違うことが原因だと思うので、両方で/etc/ssh/ssh_host*を同じにすればいいかもしれません。未確認ですが。
投稿2019/11/04 13:02
総合スコア84505
> ちなみに、どちらも別々の公開鍵(同じではないです)を生成し、
1クライアントで複数の鍵ペアを持っているということですか?なぜでしょう?
返信が遅くなりすいません。1クライアントであれば、例えばecdsa1個だけあれば複数のサーバに同じ鍵を登録すればいいということでしょうか。
> 複数のサーバに同じ鍵を登録すればいいということでしょうか。
普通はそうですね。
クライアントの~/.ssh/known_hostsを書き換えてsshを実行してみると、同様のメッセージが出てコマンドが実行されませんので、やはりfingerprintが原因と思います。
他の回答にある StrictHostKeyChecking=no だと、メッセージが出た上で実行されますね。
メッセージが出て良ければそれで、クライアント側だけで対応できます。
メッセージを出さないためには、回答に書いたようにサーバー側のホストキー /etc/ssh/ssh_host_rsa_key.pub を同一にするしかないと思います。
両方のサーバで、/etc/ssh/ssh_host*を同じにしてみましたら、接続できるようになりました。
いったん、鍵の整理をしてみます。1個で良いということなので。
他の案としては、クライアント側でhostsファイルでそのIPアドレスに複数のホスト名を付けて、IPアドレスでなく異なるサーバーには異なるホスト名で接続に行けば、known_hostsの記録上は別物として記録されて、大丈夫だと思います。
あ、もう同じにしちゃったんですね。
運用的に可能なら、上に書いた「他の案」の方が自然な気がします。
なるほど、ホスト名という方法もあるのですね。
2台のCent OS 7.0にそれぞれホスト名をつけてあげることにします。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2019/11/06 08:46
2019/11/06 13:14