Kann ich die SSH-Hostschlüsselüberprüfung mit einem Round-Robin-DNS verwenden?

3

Ich melde mich auf einem Server an, der auf einem Round-Robin-DNS-Hostnamen basiert. "Login.example.com" kann auf eine beliebige Anzahl von Servern angewendet werden. Idealerweise möchte ich meine known_hosts-Datei so aktualisieren können, dass das Erreichen eines beliebigen Computers ohne Warnung / Fehler möglich ist. Ich schätze jedoch, dass es ein Fallback wäre, wenn alle Server auf irgendeine Weise denselben Fingerabdruck aufweisen würden / host Schlüssel. Ich habe wie gesehen Beiträge dieses aber „eine einzige statische IP holen um sich einzuloggen , um“ ist nicht wirklich eine Option. Ich hätte gerne eine echte Lösung, wenn es eine gibt.

Coderer
quelle

Antworten:

3

Wenn Sie keine sichere Methode zur Unterscheidung zwischen Computern im Round-Robin-Cluster benötigen , kopieren Sie einfach den einen Hostschlüssel auf jeden Computer im Cluster.

Das bedeutet, dass Ihre SSH-Hostschlüsselüberprüfung Ihnen sicher sagt, dass es sich um einen Cluster handelt, Sie jedoch nicht genau wissen, um welchen Computer es sich handelt. Sie können sich auf die statische IP-Adresse (oder die Ausgabe von hostname) als nicht sichere Methode zur Unterscheidung zwischen Computern im Cluster verlassen.

Spiff
quelle
1

Dies ist, was ich Werke gefunden habe ...

  1. Löschen Sie alle vorhandenen Einträge für den Host in ~ / .ssh / known_hosts
  2. Rufen Sie eine vollständige Liste der IP-Adressen ab, denen der Host zugeordnet ist, und suchen Sie dann nach jeder IP-Adresse.
ssh-keyscan -H -t rsa 10.X.X.X >> ~/.ssh/known_hosts

dann wirst du kein problem mehr sehen ... wenn du den hostnamen mit verwendest

SSH-Hostname.

G

Ghatothkach Yadav
quelle
0

Es gibt keine wirklich gute Möglichkeit, dies zu tun, da ssh erstellt wird, um sicherzustellen, dass kein Risiko für DNS-Spoofing besteht. Das heißt, Sie können diese Problemumgehung verwenden:

ssh $(nslookup login.example.com | grep -v '#' | grep -m1 '^Address:' | cut -d \  -f 2)

Grundsätzlich wird hierdurch die IP-Adresse gesucht und anstelle des Hostnamens die IP-Adresse verwendet. Dies sollte Probleme beseitigen, es sei denn, der Server ändert auch die IP-Adresse.

LassePoulsen
quelle