解決ssh登入Host key verification failed
使用SSH登入某臺機器,有時因為server端的一些變動,會出現以下資訊: @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that the RSA host key has just been changed. The fingerprint for the RSA key sent by the remote host is 50:e6:cb:58:bc:b7:a3:f6:e8:8f:46:a7:c1:5f:c2:df. Please contact your system administrator. Add correct host key in /home/cobyeah/.ssh/known_hosts to get rid of this message. Offending key in /home/cobyeah/.ssh/known_hosts:7 RSA host key for 192.168.0.4 has changed and you have requested strict checking. Host key verification failed. (此處先不提及原理,只講處理方法,需要了解原因的請留言或找其他資料) 這時候的處理方法,有3種: 1. 刪除提示資訊中,對應的行數,例如上例,需要刪除/home/cobyeah/.ssh/known_hosts檔案的第7行。 2. 刪除整份/home/cobyeah/.ssh/known_hosts檔案。 3. 修改/etc/ssh/ssh_config檔案的配置,以後則不會再出現此問題StrictHostKeyChecking no UserKnownHostsFile /dev/null
下面簡單講一下這個問題的原理和比較長久的解決方案。
用OpenSSH的人都知ssh會把你每個你訪問過計算機的公鑰(public key)都記錄在~/.ssh/known_hosts。當下次訪問相同計算機時,OpenSSH會核對公鑰。如果公鑰不同,OpenSSH會發出警告, 避免你受到DNS Hijack之類的攻擊。
SSH對主機的public_key的檢查等級是根據StrictHostKeyChecking變數來配置的。預設情況下,StrictHostKeyChecking=ask。簡單所下它的三種配置值:
1.StrictHostKeyChecking=no
#最不安全的級別,當然也沒有那麼多煩人的提示了,相對安全的內網測試StrictHostKeyChecking=ask #預設的級別,就是出現剛才的提示了。如果連線和key不匹配,給出提示,並拒絕登入。
3.StrictHostKeyChecking=yes #最安全的級別,如果連線與key不匹配,就拒絕連線,不會提示詳細資訊。
對於我來說,在內網的進行的一些測試,為了方便,選擇最低的安全級別。在.ssh/config(或者/etc/ssh/ssh_config)中配置:
(注:這裡為了簡便,將knownhostfile設為/dev/null,就不儲存在known_hosts中了)
SSH 登入失敗:Host key verification failed 的處理方法
問題1: SSH 登入失敗:Host key verification failed ###################################### 由於公鑰不一樣了,所以無法登入,提示資訊是 KEY 驗證失敗。 解決方法是: 在 /root/.ssh/known_hosts 檔案裡面將原來的公鑰資訊刪除即可。
SSH 報 “Host key verification failed.”。一般來說,出現該錯誤有這麼幾種可能:
1. .ssh/known_hosts 裡面記錄的目標主機 key 值不正確。這是最普遍的情況,只要刪除對應的主機記錄就能恢復正常。
執行命令: sudo rm /home/yourname/.ssh/known_hosts
2. .ssh 目錄或者 .ssh/known_hosts 對當前使用者的許可權設定不正確。這種情況比較少,一般正確設定讀寫許可權以後也能恢復正常。 3. /dev/tty 對 other 使用者沒有放開讀寫許可權。這種情況極為罕見。出現的現象是,只有 root 使用者能夠使用 ssh client,而所有其他的普通使用者都會出現錯誤。 我今天遇到的就是第三種情況,修改 /dev/tty 的許可權後,一切正常。為了避免以後忘記解決方法,記錄在這裡。
問題2: ssh_exchange_identification: Connection closed by remote host ################################################## 解決辦法: 修改/etc/hosts.allow檔案,加入 sshd:ALL。
符相關配製說明: vi /etc/ssh/ssh_config ------------------------------------------------- 下面逐行說明上面的選項設定: Host * :選項“Host”只對能夠匹配後面字串的計算機有效。“*”表示所有的計算機。 ForwardAgent no :“ForwardAgent”設定連線是否經過驗證代理(如果存在)轉發給遠端計算機。 ForwardX11 no :“ForwardX11”設定X11連線是否被自動重定向到安全的通道和顯示集(DISPLAY set)。 RhostsAuthentication no :“RhostsAuthentication”設定是否使用基於rhosts的安全驗證。 RhostsRSAAuthentication no :“RhostsRSAAuthentication”設定是否使用用RSA演算法的基於rhosts的安全驗證。 RSAAuthentication yes :RSAAuthentication”設定是否使用RSA演算法進行安全驗證。 PasswordAuthentication yes :“PasswordAuthentication”設定是否使用口令驗證。 FallBackToRsh no:“FallBackToRsh”設定如果用ssh連接出現錯誤是否自動使用rsh。 UseRsh no :“UseRsh”設定是否在這臺計算機上使用“rlogin/rsh”。 BatchMode no :“BatchMode”如果設為“yes”,passphrase/password(互動式輸入口令)的提示將被禁止。當不能互動式輸入口令的時候,這個選項對指令碼檔案和批處理任務十分有用。 CheckHostIP yes :“CheckHostIP”設定ssh是否檢視連線到伺服器的主機的IP地址以防止DNS欺騙。建議設定為“yes”。 StrictHostKeyChecking no :“StrictHostKeyChecking”如果設定成“yes”,ssh就不會自動把計算機 的密匙加入“$HOME/.ssh/known_hosts”檔案,並且一旦計算機的密匙發生了變化,就拒絕連線。 IdentityFile ~/.ssh/identity :“IdentityFile”設定從哪個檔案讀取使用者的RSA安全驗證標識。 Port 22 :“Port”設定連線到遠端主機的埠。 Cipher blowfish :“Cipher”設定加密用的密碼。 EscapeChar ~ :“EscapeChar”設定escape字元。