SSH la 1 server de la 2 servere diferite care au același nume de gazdă

Există 2 servere pentru producție și DR. Ambele servere sunt RHEL 7 și aceleași specificații.

Ambele au același nume de gazdă și adresă IP diferită. Trebuie să ne conectăm la aceleași servere externe prin SSH fără parolă.

Când am încercat să ne conectăm de la serverul DR, a afișat un avertisment cu mesajul de mai jos.

Permisiune refuzată (publickey,gssapi-keyex,gssapi-with-mic,keyboard-interactive).
fromserver:user1$ ssh user2@dest-server
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@
@ AVERTISMENT: POSIBILĂ SPOIFING DNS DETECTAT! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@
Cheia gazdă ECDSA pentru dest-server s-a schimbat,
și cheia pentru adresa IP corespunzătoare 10.126.**.**
este neschimbat. Acest lucru ar putea însemna fie că
Se întâmplă DNS SPOOFING sau adresa IP pentru gazdă
și cheia gazdă s-au schimbat în același timp.
Cheie jignitoare pentru IP în /home/user1/.ssh/known_hosts:111
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@
@ AVERTISMENT: IDENTIFICAREA GAZDEI LA DISTANȚĂ S-A SCHIMBAT! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@
ESTE POSIBIL CA CINEVA SĂ FACĂ CEVA RĂUS!
Cineva s-ar putea să te asculte cu urechea chiar acum (atac de om-in-the-middle)!
De asemenea, este posibil ca o cheie gazdă tocmai să fi fost schimbată.
Amprenta pentru cheia ECDSA trimisă de gazda la distanță este
SHA256:************************************************.
Vă rugăm să contactați administratorul de sistem.
Adăugați cheia de gazdă corectă în /home/user1/.ssh/known_hosts pentru a scăpa de acest mesaj.
Tastarea ED25519 ofensă în /home/user1/.ssh/known_hosts:111
Autentificarea prin parolă este dezactivată pentru a evita atacurile „man-in-the-middle”.
Autentificarea interactivă prin tastatură este dezactivată pentru a evita atacurile de tip man-in-the-middle.
**************************************************** ********************

Întrebarea mea este cum pot evita acest mesaj și cum pot activa autentificarea ssh fără parolă. Este posibil să evitați acest mesaj?

Aveți nume de gazdă diferite în DNS pentru funcții administrative, inclusiv ssh. Făcându-mi propriul exemplu, thingprod1.example.net și thingprod2.example.net, cu thingprod.example.net ca o adresă de serviciu care indică partea activă. Administratorii de sistem folosesc numele gazdei, aplicațiile utilizator folosesc adresa serviciului.

Falsificarea DNS de la ssh și avertismentele de modificare a cheii gazdei sunt caracteristici de securitate pentru a detecta interceptarea traficului ssh. Se bazează pe cheia gazdă rămâne aceeași pentru un nume și IP.

În timp ce alții vă sugerează că NU ar trebui să utilizați același nume de gazdă (și sunt de acord cu ei), ei nu propun o soluție.

Soluția actuală este dezactivarea StrictHostKeyChecking.

Pentru a face acest lucru, puteți ssh în server direct cu:

ssh -o StrictHostKeyChecking=nu <nume utilizator>@<nume gazdă>

Dacă utilizați un fișier de configurare ssh, acesta va arăta astfel:

Gazdă <nume>
Utilizator <nume utilizator>
Nume gazdă <nume gazdă>
 StrictHostKeyChecking nr
 UserKnownHostsFile=/dev/null

UserKnownHostsFile=/dev/null se va asigura că cheia dvs. nu va fi salvată.