Kann ich die SSH-Hostschlüsselüberprüfung mit einem Round-Robin-DNS verwenden?

Ich melde mich auf einem Server an, der auf einem Round-Robin-DNS-Hostnamen basiert. "Login.example.com" kann auf eine beliebige Anzahl von Servern angewendet werden. Idealerweise möchte ich meine known_hosts-Datei so aktualisieren können, dass das Erreichen eines beliebigen Computers ohne Warnung / Fehler möglich ist. Ich schätze jedoch, dass es ein Fallback wäre, wenn alle Server auf irgendeine Weise denselben Fingerabdruck aufweisen würden / host Schlüssel. Ich habe wie gesehen Beiträge dieses aber „eine einzige statische IP holen um sich einzuloggen , um“ ist nicht wirklich eine Option. Ich hätte gerne eine echte Lösung, wenn es eine gibt.

Wenn Sie keine sichere Methode zur Unterscheidung zwischen Computern im Round-Robin-Cluster benötigen , kopieren Sie einfach den einen Hostschlüssel auf jeden Computer im Cluster.

Das bedeutet, dass Ihre SSH-Hostschlüsselüberprüfung Ihnen sicher sagt, dass es sich um einen Cluster handelt, Sie jedoch nicht genau wissen, um welchen Computer es sich handelt. Sie können sich auf die statische IP-Adresse (oder die Ausgabe von hostname) als nicht sichere Methode zur Unterscheidung zwischen Computern im Cluster verlassen.

Dies ist, was ich Werke gefunden habe ...

1. Löschen Sie alle vorhandenen Einträge für den Host in ~ / .ssh / known_hosts
2. Rufen Sie eine vollständige Liste der IP-Adressen ab, denen der Host zugeordnet ist, und suchen Sie dann nach jeder IP-Adresse.

ssh-keyscan -H -t rsa 10.X.X.X >> ~/.ssh/known_hosts

dann wirst du kein problem mehr sehen ... wenn du den hostnamen mit verwendest

SSH-Hostname.

G

Es gibt keine wirklich gute Möglichkeit, dies zu tun, da ssh erstellt wird, um sicherzustellen, dass kein Risiko für DNS-Spoofing besteht. Das heißt, Sie können diese Problemumgehung verwenden:

ssh $(nslookup login.example.com | grep -v '#' | grep -m1 '^Address:' | cut -d \  -f 2)

Grundsätzlich wird hierdurch die IP-Adresse gesucht und anstelle des Hostnamens die IP-Adresse verwendet. Dies sollte Probleme beseitigen, es sei denn, der Server ändert auch die IP-Adresse.