摘要:解决ssh登录远程Linux时The authenticity of host 'IP' can't be established的问题
问题
在用ssh客户端第一次登录远程Linux的时候通常会报如下的错误
ECDSA key fingerprint is SHA256:+9UZGqPe/Rdaiz9jTg0P5ZtGMl6gVP0i+iPTh8sHwt4.
Are you sure you want to continue connecting (yes/no)?
在这过程中,需要输入yes才能链接,非常繁琐。
并且当我们新服务器进行重装之后,SSH密钥信息会发生变化,网上很多的解决方案是:
vi ~/.ssh/known_hosts
删除与想要连接的主机相关的行,或者直接删除known_hosts这个文件。
当然这个方案也是可行的,但并非解决问题的根本办法,因为继续使用,今后还会出现这样的情况,还得再删除。
下面简单讲一下这个问题的原理和比较长久的解决方案。
分析
原因在于每次远程登录Linux的时候,Linux都要检查一下,当前访问的计算机公钥是不是在~/.ssh/know_hosts中,这个文件时OpenSSH记录的。当下次访问相同计算机时,OpenSSH会核对公钥。如果公钥不同,OpenSSH会发出警告,避免你受到DNS Hijack之类的攻击。SSH对主机的public_key的检查等级是根据StrictHostKeyChecking变量来配置的。默认情况下,StrictHostKeyChecking=ask。简单所下它的三种配置值:
1.StrictHostKeyChecking=no
最不安全的级别,当然也没有那么多烦人的提示了,相对安全的内网测试时建议使用。如果连接server的key在本地不存在,那么就自动添加到文件中(默认是known_hosts),并且给出一个警告。
2.StrictHostKeyChecking=ask
#默认的级别,就是出现刚才的提示了。如果连接和key不匹配,给出提示,并拒绝登录。
3.StrictHostKeyChecking=yes
#最安全的级别,如果连接与key不匹配,就拒绝连接,不会提示详细信息。
解决方法
- 根据上面的理论,我们用下面的命令登录就不会出问题了。
ssh -o StrictHostKeyChecking=no username@ip
- 还有一种方法是彻底去掉提示,修改/etc/ssh/ssh_config文件(或$HOME/.ssh/config)中的配置,添加如下两行配置:
StrictHostKeyChecking no UserKnownHostsFile /dev/null
修改好配置后,重新启动sshd服务即可,命令为:/etc/init.d/sshd restart (或 systemctl restart sshd )
当然,这是内网中非常信任的服务器之间的ssh连接,所以不考虑安全问题,就直接去掉了主机密钥(host key)的检查。
后记:关于我上一篇文章:Linux下免交互 SSH 登录工具:sshpass中提到的:利用sshpass进行批量执行命令,测试发现,在连接其他服务器的SSH时,如果系统中没有包含其已知密钥信息,则测试会不通过。所以我们需要如下操作:
sshpass -p 'passwd' ssh -o StrictHostKeyChecking=no root@ip 'ls -a'
这样即可忽略连接信息,进行批量脚本操作。
文章部分内容转载于:https://yq.aliyun.com/articles/288093
» 转载请注明来源:刺客博客
» 如果文章失效或者安装失败,请留言进行反馈。