46

IP アドレスのシステムが頻繁に変更されるネットワークで作業しています。それらはワークベンチに出入りし、DHCP が取得する IP を決定します。

システムに接続する必要があるたびに ~/.ssh/known_hosts を編集する必要がないように、ホスト キーのキャッシュ/チェックを無効にする方法は簡単ではないようです。

私はホストの信頼性を気にしません。それらはすべて 10.xxx ネットワーク セグメント上にあり、だれも私を MITM していないことは比較的確実です。

これを行う「適切な」方法はありますか?警告が表示されるかどうかは気にしませんが、停止して毎回その IP の known_hosts エントリをフラッシュさせるのは面倒です。このシナリオでは、システムに 1 回または 2 回以上接続することはめったにないため、実際にはセキュリティを提供しません。次に、IP が別のシステムに与えられます。

ssh_config ファイルを調べたところ、外部マシンへの接続のセキュリティを維持し、ローカル アドレスのチェックを無視できるように、グループを設定できることがわかりました。これが最適でしょう。

検索すると、この問題について非常に強い意見がいくつか見つかりました。「いじらないでください。セキュリティのためです。ただ対処してください」から「これは私が今まで対処しなければならなかった最もばかげたことです。オフにしたい」...私はその中間のどこかにいます。数分ごとにファイルからアドレスを消去することなく、自分の仕事をできるようにしたいだけです。

ありがとう。

4

6 に答える 6

95

これは、絶え間なく変化する EC2 ホストに使用する構成です。

maxim@maxim-desktop:~$ cat ~/.ssh/config 
Host *amazonaws.com
        IdentityFile ~/.ssh/keypair1-openssh
        IdentityFile ~/.ssh/keypair2-openssh
        User ubuntu
        StrictHostKeyChecking no
        UserKnownHostsFile /dev/null

これにより、ホストの確認が無効StrictHostKeyChecking noになり、ssh がホストの ID を永続的なファイルに保存するのを防ぐための素敵なハックも使用UserKnownHostsFile /dev/nullされます。秘密鍵。

于 2011-02-21T15:28:57.303 に答える
10

OpenSSHを使用していると仮定すると、設定できると思います

CheckHostIP no

ホスト IP が known_hosts でチェックされないようにするオプション。マニュアルページから:

CheckHostIP

このフラグが「yes」に設定されている場合、ssh(1) はさらに、known_hosts ファイル内のホスト IP アドレスをチェックします。これにより、ssh は、DNS スプーフィングが原因でホスト キーが変更されたかどうかを検出できます。オプションが「いいえ」に設定されている場合、チェックは実行されません。デフォルトは「はい」です。

于 2009-11-02T03:43:14.877 に答える
8

これを見つけるのに時間がかかりました。私が見た最も一般的な使用例は、リモート ネットワークへの SSH トンネルがある場合です。ここにあるすべてのソリューションは、Nagios スクリプトを壊す警告を生成しました。

私が必要としたオプションは次のとおりです。

NoHostAuthenticationForLocalhost yes

名前が示すように、これは localhost にのみ適用されます。

于 2011-04-11T05:27:43.650 に答える