Chinaunix首页 | 论坛 | 博客
  • 博客访问: 300795
  • 博文数量: 70
  • 博客积分: 26
  • 博客等级: 民兵
  • 技术积分: 1236
  • 用 户 组: 普通用户
  • 注册时间: 2012-07-23 14:46
个人简介

linux --- 一切皆文件

文章分类

全部博文(70)

文章存档

2019年(2)

2018年(4)

2017年(7)

2016年(11)

2015年(1)

2014年(2)

2013年(33)

2012年(10)

分类: LINUX

2019-01-09 17:19:45

ssh客户端报错如下:
ssh root@1.1.1.1
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
Please contact your system administrator.
Add correct host key in /root/.ssh/known_hosts to get rid of this message.
Offending RSA key in /root/.ssh/known_hosts:13
RSA host key for [1.1.1.1]:22 has changed and you have requested strict checking.
Host key verification failed.

客户端解决方案1:
删除文件 /root/.ssh/known_hosts 中带有1.1.1.1这行的数据,然后重连即可。

客户端方案2(不是很安全,内网随意):
客户端不进行key的验证配置如下:
方法1. ssh命令上添加参数:
ssh -o StrictHostKeyChecking=no
方法2. 修改配置文件
/etc/ssh/ssh_config
StrictHostKeyChecking no UserKnownHostsFile /dev/null

场景:
ssh堡垒机需要挂载四层负载均衡之后,放多台堡垒机,使用wrr算法,因为VIP是一个,当用户当前访问VIP的时候,流量转到堡垒机A,过段时间访问VIP的时候,流量转到堡垒机B。就会报错。

原因如下:相同的VIP,对于客户端来说认为是只有一个KEY,一台机器,但是负载到后端两台机器,这两台机器上认为的key不相同,从而导致上面的问题。

服务器端处理:
多台跳板机的/etc/ssh/目录下的文件进行统一。
moduli
ssh_config
sshd_config
ssh_host_ecdsa_key
ssh_host_ecdsa_key.pub
ssh_host_ed25519_key
ssh_host_ed25519_key.pub
ssh_host_rsa_key
ssh_host_rsa_key.pub
也可通过rsync进行配置同步,这样不管负载均衡将请求打到任意一个跳板机上,都不会出现上面的报错。因为所有机器的key是一样的,所以不会出现标识出错的问题。


jumpserver此问题修改:

jumpserver会在coco/coco/sshd.py:host_key启动的时候生成host_rsa_key文件(key生成函数: coco/coco/utils.py:ssh_key_gen)。文件生成在/opt/coco/keys/host_rsa_key。多台主机的host_rsa_key不同,导致报错。将多台机器的host_rsa_key保证一样。jumpserver的私钥会保存成文件,但是公钥是根据私钥实时计算出来的。
阅读(3412) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~