Faccio molte ricerche tra i miei computer LAN e i miei due account di web hosting, quindi ho risolto tutti i tipi di probabilità e termina con SSH, compresi i problemi di autenticazione ssh -v
per vedere dove e cosa è andato storto.
Avendo appena risolto questo problema e non essere soddisfatto delle risposte, volevo davvero sapere "perché" me stesso ...
Il trigger per il mio caso è: installato il nuovo sistema operativo del server al lavoro e al momento dell'installazione del pacchetto openssh-server, un nuovo set di chiavi host è stato generato sul server di lavoro. In precedenza, tutti i miei sistemi operativi server erano Ubuntu e questa volta è cambiato in Debian (e sospetto che ci sia una differenza sfumata nelle autorizzazioni).
Quando tutti i sistemi operativi erano Ubuntu e reinstallo il sistema operativo di un server, al primo SSH, ottengo questo tipo di avviso, che preferisco rispetto all'avviso silenzioso sopra!
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
06:ea:f1:f8:db:75:5c:0c:af:15:d7:99:2d:ef:08:2a.
Please contact your system administrator.
Add correct host key in /home/user/.ssh/known_hosts to get rid of this message.
Offending key in /home/user/.ssh/known_hosts:4
RSA host key for domain.com has changed and you have requested strict checking.
Host key verification failed.
Quindi apro ~/.ssh/known_hostssul computer l'avvio di ssh, elimino quella riga, riconnetto e questo succede:
chris@home ~ $ ssh work
The authenticity of host '[work]:11122 ([99.85.243.208]:11122)' can't be established.
ECDSA key fingerprint is 56:6d:13:be:fe:a0:29:ca:53:da:23:d6:1d:36:dd:c5.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[work]:11122 ([99.85.243.208]:11122)' (ECDSA) to the list of known hosts.
Linux rock 3.2.0-4-amd64 #1 SMP Debian 3.2.51-1 x86_64
Quel po ': 11122 è il numero di porta da cui instrado SSH sul firewall
Ho controllato i backup da un precedente server Ubuntu e ho fatto una differenza rispetto alla mia nuova installazione Debian:
Ubuntu: Debian:
# Package generated configuration file # Package generated configuration file
# See the sshd(8) manpage for details # See the sshd_config(5) manpage for details
# What ports, IPs and protocols we listen for # What ports, IPs and protocols we listen for
Port 22 Port 22
# Use these options to restrict which interface # Use these options to restrict which interfaces
#ListenAddress :: #ListenAddress ::
#ListenAddress 0.0.0.0 #ListenAddress 0.0.0.0
Protocol 2 Protocol 2
# HostKeys for protocol version 2 # HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key HostKey /etc/ssh/ssh_host_dsa_key
------------------------------------------------ HostKey /etc/ssh/ssh_host_ecdsa_key
#Privilege Separation is turned on for security #Privilege Separation is turned on for security
UsePrivilegeSeparation yes UsePrivilegeSeparation yes
Quindi sì, probabilmente, l'host ha iniziato a usare le chiavi ecdsa di recente, che di recente in base alle modifiche di Ubuntu, darei la colpa a un aggiornamento. Il passaggio di Ubuntu dal solido sistema operativo Linux su cui ho contato è il motivo per cui ho installato Debian questa volta.
Ho letto un security.SE q / a su ecdsa e ho già rimosso quella riga dal sshd_config
mio nuovo server Debian. (e corse service ssh restart
)
The ECDSA host key for server has changed
. La mia strada è rimuovere la stringa di cache relativa sul dominio in~/.ssh/known_hosts
. Quindi funziona ssh.