KNOWN_HOSTS处理

在平时工作中，有时候需要SSH登陆到别的linux主机上去，但有时候SSH登陆会被禁止，并弹出如下类似提示：

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!Someone could be eavesdropping on you right now (man-in-the-middle attack)!It is also possible that the RSA host key has just been changed.The fingerprint for the RSA key sent by the remote host is36:68:a6:e6:43:34:6b:82:d7:f4:df:1f:c2:e7:37:cc.Please contact your system administrator.Add correct host key in /u/xlian008/.ssh/known_hosts to get rid of this message.Offending key in /u/xlian008/.ssh/known_hosts:2RSA host key for 135.1.35.130 has changed and you have requested strict checking.Host key verification failed.

比较奇怪，于是研究了一下。 ssh会把你每个你访问过计算机的公钥(public key)都记录在~/.ssh/known_hosts。当下次访问相同计算机时，OpenSSH会核对公钥。如果公钥不同，OpenSSH会发出警告， 避免你受到DNS Hijack之类的攻击。我在上面列出的情况，就是这种情况。

原因：一台主机上有多个Linux系统，会经常切换，那么这些系统使用同一ip，登录过一次后就会把ssh信息记录在本地的~/.ssh/known_hsots文件中，切换该系统后再用ssh访问这台主机就会出现冲突警告，需要手动删除修改known_hsots里面的内容。

有以下两个解决方案：

1. 手动删除修改known_hsots里面的内容； (清除旧的公钥信息ssh-keygen -R 192.168.0.10)
2. 修改配置文件“~/.ssh/config”，加上这两行，重启服务器。
   StrictHostKeyChecking no

UserKnownHostsFile /dev/null

优缺点：

1. 需要每次手动删除文件内容，一些自动化脚本的无法运行（在SSH登陆时失败），但是安全性高；
2. SSH登陆时会忽略known_hsots的访问，但是安全性低；

其它：

1. rm -rf ~/.ssh/known_hosts
   优点：干净利索 缺点：把其他正确的公钥信息也删除，下次链接要全部重新经过认证
2. vi ~/.ssh/known_hosts 删除对应ip的相关rsa信息（本例可知删除53行信息即可）
   优点：其他正确的公钥信息保留缺点：还要vi，还要找到对应信息，稍微优点繁琐

linux下经常遇到known_hosts问题，例如git clone一个ssh协议的远程库，就会交互询问是否接受远程服务器的fingerprint，当执行一些自动化脚本时就得通过expect来处理这种情况。

今天搜索了一下，整理了相关处理办法。

linux需要接受和校验fingerprint的原因是避免受到DNS Hijack之类的攻击。具体原理是第一次访问远程服务器时从远程服务器接受一个fingerprint，实际上是一个rsa或者dsa公钥，将这个公钥保存在~/.ssh/known_hosts里，下次访问该服务器时就会通过这个公钥校验，如果校验不通过就会发出警告。

如果要让ssh不去校验fingerprint有两种办法，一个是ssh时加上-o StrictHostKeyChecking=no参数，这只会影响本次操作：

1. ssh -o StrictHostKeyChecking=no username@hostname.com
   另外永久解决方案是在/etc/ssh/ssh_config或者~/.ssh/config里配置StrictHostKeyChecking no，修改哪个文件取决于你想影响全局还是当前用户。

另外一种方案是预先将远程服务器的fingerprint存入known_hosts，这样就不会出现询问的情况。

ssh-keygen -R [hostname]

ssh-keygen -R [ip_address]

ssh-keygen -R [hostname],[ip_address]

ssh-keyscan -t rsa [hostname],[ip_address] >> ~/.ssh/known_hosts

ssh-keyscan -t rsa [ip_address] >> ~/.ssh/known_hosts

ssh-keyscan -t rsa [hostname] >> ~/.ssh/known_hosts
ssh-keygen是将已存在的服务器公钥清除，避免重复添加。

ssh-keyscan则是获取远程服务器的fingerprint，如果还想获取dsa公钥则将rsa改成rsa,dsa

参考：

http://serverfault.com/questions/132970/can-i-automatically-add-a-new-host-to-known-hosts

http://blog.csdn.net/yasaken/article/details/7348441