Referensi di bawah ini untuk dokumentasi Google tidak lagi benar.
Google merekomendasikan untuk menghapus kunci SSH dari instance GCE untuk mengamankan SSH. Itu tidak masuk akal bagi saya. Kunci ada untuk keamanan, bukan? Ketika saya menghapus kunci, SSHD berhenti bekerja. Saya mungkin melewatkan poin mereka. Dapatkah seseorang menjelaskan apa yang dimaksud dengan ini:
Hapus kunci host ssh
Jangan gunakan kunci host ssh dengan instance Anda. Hapus mereka sebagai berikut:
rm /etc/ssh/ssh_host_key rm /etc/ssh/ssh_host_rsa_key* rm /etc/ssh/ssh_host_dsa_key* rm /etc/ssh/ssh_host_ecdsa_key*
ssh
cloud
cloud-computing
google-compute-engine
hostkey
Martin Prikryl
sumber
sumber
StrictHostKeyChecking
dan kemudian merekomendasikan untuk menonaktifkannya. Saya menduga itu bukan dokumen yang diedit dengan sangat hati-hati. Saran saya adalah percaya pada penilaian Anda sendiri, dan gunakan kunci host kecuali ada alasan bagus untuk tidak melakukannya.Jawaban:
Detail kritisnya adalah bahwa halaman yang Anda referensikan adalah tentang membuat gambar mesin Compute Engine baru. Khususnya, ketika Anda membuat gambar mesin virtual baru, Anda ingin memastikan itu TIDAK termasuk kunci host. Dengan begitu, ketika gambar dikloning dan disusun kembali menjadi VM yang sebenarnya, skrip startup sshd akan mengenali bahwa tidak ada kunci host, dan secara otomatis menghasilkan yang baru. Ini diinginkan karena memiliki beberapa mesin menggunakan kunci host yang sama adalah ide yang sangat buruk.
Jadi, dalam kasus umum, tolong jangan menghapus kunci host Anda, tetapi jika Anda membuat gambar baru, ini merupakan langkah penting untuk memastikan ada hubungan satu-ke-satu antara kunci host dan mesin.
sumber
Satu-satunya alasan yang mungkin saya pikirkan adalah karena mereka ingin memaksa Anda untuk membuat kembali kunci baru.
Karena kunci ini dibuat sebelum Anda memiliki akses, mereka mungkin tidak dapat dipercaya.
Menghapusnya dan memulai kembali
sshd
akan membuat kembali kunci untuk Anda.Namun dokumen itu tidak terlalu memperjelas.
Ini spekulasi murni dan akan lebih baik untuk menghubungi mereka dan mendapatkan klarifikasi mengenai hal ini.
sumber
sshd
. Tetapi untuk menghubungkan saya harus menerima kunci host server yang "tidak dipercaya". Jadi, apa pun yang saya lakukan selama sesi ini tidak dapat dipercaya. Bahkan memulai kembali sshd. Baik?