Apakah mungkin untuk membuat klien ssh tidak peduli apa IP server ssh berada di belakang (dan jika server yang berbeda berada di belakang IP itu sebelumnya) tetapi sebaliknya mempercayai kunci server tertentu? (Dan mungkin julukan kunci-kunci itu?) Saya menggunakan DNS dinamis dan saya memiliki ekstensi privasi IPv6 diaktifkan di beberapa komputer dan saya selalu ditanya apakah menurutnya aman untuk terhubung. Kemungkinan lain adalah alamat yang diberikan oleh DHCP ditugaskan ke server ssh yang berbeda dan menyebabkan semua jenis 'kunci tidak cocok dengan kesalahan IP'.
8
Jawaban:
Tambahkan nama panggilan untuk server Anda
~/.ssh/config
, dan matikanCheckHostIP
untuk server ini.Sebelum Anda terhubung ke server untuk pertama kalinya, Anda dapat menyalin out-of-band kunci publik: ambil
/etc/ssh/ssh_host_rsa_key.pub
dari server, hapusroot@hostname
bagian di akhir baris, tambahkanexample.dyndns.org
di awal, dan tambahkan baris ke~/.ssh/known_hosts
. Secara opsional jalankanssh-keygen -H
untuk meng-hash nama host (ini hanya berguna jika Anda khawatir tentang privasi entri itu jika seseorang mencuri hard disk atau cadangan Anda, yang bagi 99,99% orang tidak berguna karena informasinya ada di beberapa lokasi terdekat lainnya) lokasi tetap).sumber
Host nickname
, apakah itu berarti saya bisa melakukannyassh nickname
? Jika demikian, itu cukup rapi.Di
/etc/ssh/ssh_config
tambahkan barisNamun, ini menghilangkan sedikit Secure di SSH, karena mesin apa pun dapat bersembunyi di balik nama IP atau DynDNS yang Anda sambungkan.
sumber
CheckHostIP
, maka tidak, itu tidak mengatakan Anda melepaskan perlindungan apa pun. DenganCheckHostIP no
, spoofer masih harus mendapatkan kunci pribadi server, dan jika dia bisa melakukan itu, tidak mungkin dia juga tidak bisa menipu alamat IP-nya.sudo
atau serupa.