Hallo,
ich würde gerne meine ssh option "StrictHostKeyChecking" auf "ask" stellen.
Habe jetzt schon in /etc/ssh und /home/USER/.ssh/ versucht die Option zu enablen.
Aber es wird offensichtlich nicht übernommen - kA warum.
Auch wenn ich es in der kommandozeile explizit angebe mit -o StrictHostKeyChecking=ask geht es nicht!
Er geht immer von StrictHostKeyChecking=yes aus offensichtlich.
Hat das jemand von euch mit ask erfolgreich am laufen oder einen Tipp?
Benutze Debian sid (obwohl das egal sein sollte).
Danke im Vorraus!
ssh StrictHostKeyChecking
-
@lienX
- Beiträge: 24
- Registriert: 15.03.2006 10:48:57
- Lizenz eigener Beiträge: GNU General Public License
ssh StrictHostKeyChecking
Der Kampf zwischen Natur und Technik wird nie enden:
Die Technik erfindet immer idiotensichere Systeme und die Natur immer bessere Idioten.
Die Technik erfindet immer idiotensichere Systeme und die Natur immer bessere Idioten.
-
habakug
- Moderator
- Beiträge: 4314
- Registriert: 23.10.2004 13:08:41
- Lizenz eigener Beiträge: MIT Lizenz
Hallo!
hth, habakug
Auf "ask" steht diese Option per default. Mögliche Schalter sind nur "yes" und "no".ich würde gerne meine ssh option "StrictHostKeyChecking" auf "ask" stellen.
Lies die Manpage "man ssh_config".If this flag is set to ``ask'', new host keys
will be added to the user known host files only after the user
has confirmed that is what they really want to do, and ssh will
refuse to connect to hosts whose host key has changed. The host
keys of known hosts will be verified automatically in all cases.
The argument must be ``yes'', ``no'' or ``ask''. The default is ``ask''.
hth, habakug
-
@lienX
- Beiträge: 24
- Registriert: 15.03.2006 10:48:57
- Lizenz eigener Beiträge: GNU General Public License
hatte ich gemacht
hi habakug,
ich habe die man page vorher gelesen und weiß das es so sein SOLLTE.
Aber bei mir kommt die meldung:
Deswegen denke ich das es aus irgendwelchen Gründen bei mir auf NO steht.
Desweitern denke ich stimmt es nicht das die möglichen Schalter nur "yes" und "no" sind sondern eben auch "ask".
Siehe z.b:
und es steht eben auch EXPLIZIT in der mann drin (man ssh_config) das ask geht!
Danke!
ich habe die man page vorher gelesen und weiß das es so sein SOLLTE.
Aber bei mir kommt die meldung:
Code: Alles auswählen
alex@alexnb1:~$ ssh root@192.168.1.217
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
f7:cc:7e:b1:c7:d5:c2:62:17:42:05:31:7e:43:63:c1.
Please contact your system administrator.
Add correct host key in /home/alex/.ssh/known_hosts to get rid of this message.
Offending key in /home/alex/.ssh/known_hosts:9
RSA host key for 192.168.1.217 has changed and you have requested strict checking.
Host key verification failed.
Desweitern denke ich stimmt es nicht das die möglichen Schalter nur "yes" und "no" sind sondern eben auch "ask".
Siehe z.b:
Code: Alles auswählen
alex@alexnb1:~$ ssh -o StrictHostKeyChecking ask 192.168.1.217
command-line line 0: Missing yes/no/ask argument.
Oder stehe ich gerade auf dem Schlauch? --> Wo ist mein denkfehler?StrictHostKeyChecking
If this flag is set to “yes”, ssh will never automatically add host keys to the ~/.ssh/known_hosts file,
and refuses to connect to hosts whose host key has changed. This provides maximum protection against tro‐
jan horse attacks, however, can be annoying when the /etc/ssh/ssh_known_hosts file is poorly maintained,
or connections to new hosts are frequently made. This option forces the user to manually add all new
hosts. If this flag is set to “no”, ssh will automatically add new host keys to the user known hosts
files. If this flag is set to “ask”, new host keys will be added to the user known host files only after
the user has confirmed that is what they really want to do, and ssh will refuse to connect to hosts whose
host key has changed. The host keys of known hosts will be verified automatically in all cases. The
argument must be “yes”, “no” or “ask”. The default is “ask”.
Danke!
Der Kampf zwischen Natur und Technik wird nie enden:
Die Technik erfindet immer idiotensichere Systeme und die Natur immer bessere Idioten.
Die Technik erfindet immer idiotensichere Systeme und die Natur immer bessere Idioten.
-
habakug
- Moderator
- Beiträge: 4314
- Registriert: 23.10.2004 13:08:41
- Lizenz eigener Beiträge: MIT Lizenz
lesen und verstehen
Hallo!
Ein Admin kann das StrictHostKeyChecking zunächst auf "no" setzen und, wenn alle "guten" Hosts sich einmal angemeldet haben, die Option wieder auf "yes" setzen. Jetzt werden alle Hosts, die keinen Key haben kommentarlos zurückgewiesen. Die Option "ask" ist ein wenig beredter und weist den Host erst nach einem Kommentar, wie du ihn gesehen hast, zurück. Also die Option "yes" und "ask" weisen immer zurück, die Option "no" eben nicht.
Mehr ist hier nicht möglich.
Gruß, habakug
Ein Admin kann das StrictHostKeyChecking zunächst auf "no" setzen und, wenn alle "guten" Hosts sich einmal angemeldet haben, die Option wieder auf "yes" setzen. Jetzt werden alle Hosts, die keinen Key haben kommentarlos zurückgewiesen. Die Option "ask" ist ein wenig beredter und weist den Host erst nach einem Kommentar, wie du ihn gesehen hast, zurück. Also die Option "yes" und "ask" weisen immer zurück, die Option "no" eben nicht.
Mehr ist hier nicht möglich.
Was möchtes du denn genau? Das der SSH-Server dich nach einer Abfrage (ask) dann doch hineinläßt, obwohl dein Key falsch ist? Das kommt mir irgendwie spanisch vor...RSA host key for 192.168.1.217 has changed and you have requested strict checking.
Gruß, habakug
-
@lienX
- Beiträge: 24
- Registriert: 15.03.2006 10:48:57
- Lizenz eigener Beiträge: GNU General Public License
ah ok so ist ask zu verstehen
habakug:
Ah ok! dachte das "ask" eben "nachfragen" bedeutet.
Sorry: EDIT: Um klarzustellen nicht der Server kappt mich sondern mein Host!!!
Ich will dieses Hostverhalten:
Hat sich der key geändert soll er mich warnen und nachfragen ob ich das dennoch will. Sage ich dann ja soll er mich verbinden.
Das ist auch nicht seltsam oder so: Ich z.B. programiere oft an kleinen embeddet boards über ssh. Die haben immer die selbe Default ip. Aber bei jedem neuen board ändert sich der ssh-key (soll er ja auch).
Wenn ich also als root im Vollbesitz meiner geistigen Kräfte einstelle: "Warne mich aber lasse es zu wenn ich es dennoch will" ist das ein durchaus wünschenswertes Verhalten!
muss mal sehen wie ich das dann ereichen kann.. kleines skript oder so was ..
Aber danke!
Ah ok! dachte das "ask" eben "nachfragen" bedeutet.
Sorry: EDIT: Um klarzustellen nicht der Server kappt mich sondern mein Host!!!
Ich will dieses Hostverhalten:
Hat sich der key geändert soll er mich warnen und nachfragen ob ich das dennoch will. Sage ich dann ja soll er mich verbinden.
Das ist auch nicht seltsam oder so: Ich z.B. programiere oft an kleinen embeddet boards über ssh. Die haben immer die selbe Default ip. Aber bei jedem neuen board ändert sich der ssh-key (soll er ja auch).
Wenn ich also als root im Vollbesitz meiner geistigen Kräfte einstelle: "Warne mich aber lasse es zu wenn ich es dennoch will" ist das ein durchaus wünschenswertes Verhalten!
muss mal sehen wie ich das dann ereichen kann.. kleines skript oder so was ..
Aber danke!
Der Kampf zwischen Natur und Technik wird nie enden:
Die Technik erfindet immer idiotensichere Systeme und die Natur immer bessere Idioten.
Die Technik erfindet immer idiotensichere Systeme und die Natur immer bessere Idioten.
-
h4ppy
- Beiträge: 51
- Registriert: 03.06.2004 19:14:35
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Swiss
habe da ein andres Problemm
auf einer IP sind 2 rechner , bei port 22 habe ich den key reinschriben lasssen, auf port 2022 (rechner 2) sollte er das ignoritrn oder nicht?
ich nutze normal BSD , und seit neuem, auch linux, und hier funzt das nicht.
Also am sshd remontehost ligts nicht sonnst würde ja das mit den aderen kisten nicht klappen, bin ich der meihnung.
auf einer IP sind 2 rechner , bei port 22 habe ich den key reinschriben lasssen, auf port 2022 (rechner 2) sollte er das ignoritrn oder nicht?
Code: Alles auswählen
happy@blacky:~$ ssh -o StrictHostkeyChecking=no happy@xxx.xxx.xxx.xxx -p 2022
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the DSA host key has just been changed.
The fingerprint for the DSA key sent by the remote host is
8b:39:c5:b8:25:be:da:af:74:f6:6b:c8:6e:bf:5e:ac.
Please contact your system administrator.
Add correct host key in /home/happy/.ssh/known_hosts to get rid of this message.
Offending key in /home/happy/.ssh/known_hosts:1
Password authentication is disabled to avoid man-in-the-middle attacks.
Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks.
Permission denied (publickey,password,keyboard-interactive).
happy@blacky:~$
Also am sshd remontehost ligts nicht sonnst würde ja das mit den aderen kisten nicht klappen, bin ich der meihnung.
-
@lienX
- Beiträge: 24
- Registriert: 15.03.2006 10:48:57
- Lizenz eigener Beiträge: GNU General Public License
@happy:
Wenn ichs richtig verstanden habe:du greift jedes mal auf den selben rechner zu? -->
Ich denke ein ssh key gilt pro COMPUTER und nicht pro PORT ! der ssh-server benutzt ja nur einen key.
(jedenfalls ohne sondereinstellungen - das kann man sicher ändern)
Könnte aber auch dich gerade nicht genau verstanden haben .-) .
Mach aber am besten einen neuen Thread auf.
Wenn ichs richtig verstanden habe:du greift jedes mal auf den selben rechner zu? -->
Ich denke ein ssh key gilt pro COMPUTER und nicht pro PORT ! der ssh-server benutzt ja nur einen key.
(jedenfalls ohne sondereinstellungen - das kann man sicher ändern)
Könnte aber auch dich gerade nicht genau verstanden haben .-) .
Mach aber am besten einen neuen Thread auf.
Der Kampf zwischen Natur und Technik wird nie enden:
Die Technik erfindet immer idiotensichere Systeme und die Natur immer bessere Idioten.
Die Technik erfindet immer idiotensichere Systeme und die Natur immer bessere Idioten.