解決ssh登錄Host key verification failed

使用SSH登錄某台機器，有時因為server端的一些變動，會出現以下信息：

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
50:e6:cb:58:bc:b7:a3:f6:e8:8f:46:a7:c1:5f:c2:df.
Please contact your system administrator.
Add correct host key in /home/cobyeah/.ssh/known_hosts to get rid of this message.
Offending key in /home/cobyeah/.ssh/known_hosts:7
RSA host key for 192.168.0.4 has changed and you have requested strict checking.
Host key verification failed.

（此處先不提及原理，只講處理方法，需要了解原因的請留言或找其他資料）

這時候的處理方法，有3種：
1. 刪除提示信息中，對應的行數，例如上例，需要刪除/home/cobyeah/.ssh/known_hosts文件的第7行。

2. 刪除整份/home/cobyeah/.ssh/known_hosts文件。

3. 修改/etc/ssh/ssh_config文件的配置，以后則不會再出現此問題StrictHostKeyChecking no
UserKnownHostsFile /dev/null

 

 

下面簡單講一下這個問題的原理和比較長久的解決方案。
用OpenSSH的人都知ssh會把你每個你訪問過計算機的公鑰(public key)都記錄在~/.ssh/known_hosts。當下次訪問相同計算機時，OpenSSH會核對公鑰。如果公鑰不同，OpenSSH會發出警告， 避免你受到DNS Hijack之類的攻擊。
SSH對主機的public_key的檢查等級是根據StrictHostKeyChecking變量來配置的。默認情況下，StrictHostKeyChecking=ask。簡單所下它的三種配置值：
1.StrictHostKeyChecking=no  
#最不安全的級別，當然也沒有那么多煩人的提示了，相對安全的內網測試時建議使用。如果連接server的key在本地不存在，那么就自動添加到文件中（默認是known_hosts），並且給出一個警告。
2.StrictHostKeyChecking=ask  #默認的級別，就是出現剛才的提示了。如果連接和key不匹配，給出提示，並拒絕登錄。
3.StrictHostKeyChecking=yes  #最安全的級別，如果連接與key不匹配，就拒絕連接，不會提示詳細信息。

對於我來說，在內網的進行的一些測試，為了方便，選擇最低的安全級別。在.ssh/config（或者/etc/ssh/ssh_config）中配置：

 

StrictHostKeyChecking no
UserKnownHostsFile /dev/null

 

 

 

（注：這里為了簡便，將knownhostfile設為/dev/null，就不保存在known_hosts中了）

 

 

 

SSH 登錄失敗：Host key verification failed 的處理方法

問題1:
SSH 登錄失敗：Host key verification failed
######################################
由於公鑰不一樣了，所以無法登錄，提示信息是 KEY 驗證失敗。
解決方法是：
在 /root/.ssh/known_hosts 文件里面將原來的公鑰信息刪除即可。

SSH 報 “Host key verification failed.”。一般來說，出現該錯誤有這么幾種可能:

1. .ssh/known_hosts 裡面記錄的目標主機 key 值不正確。這是最普遍的情況，只要刪除對應的主機記錄就能恢復正常。

運行命令： sudo rm /home/yourname/.ssh/known_hosts

2. .ssh 目錄或者 .ssh/known_hosts 對當前用戶的權限設置不正確。這種情況比較少，一般正確設置讀寫權限以后也能恢復正常。
3. /dev/tty 對 other 用戶沒有放開讀寫權限。這種情況極為罕見。出現的現象是，只有 root 用戶能夠使用 ssh client，而所有其他的普通用戶都會出現錯誤。
我今天遇到的就是第三種情況，修改 /dev/tty 的權限后，一切正常。為了避免以后忘記解決方法，記錄在這里。

問題2:
ssh_exchange_identification: Connection closed by remote host
##################################################
解決辦法：
修改/etc/hosts.allow文件，加入 sshd:ALL。

符相關配制說明: vi　/etc/ssh/ssh_config
-------------------------------------------------
下面逐行說明上面的選項設置：
Host　*　：選項“Host”只對能夠匹配后面字串的計算機有效。“*”表示所有的計算機。　
ForwardAgent　no ：“ForwardAgent”設置連接是否經過驗證代理（如果存在）轉發給遠程計算機。　
ForwardX11　no　：“ForwardX11”設置X11連接是否被自動重定向到安全的通道和顯示集（DISPLAY　set）。　
RhostsAuthentication　no ：“RhostsAuthentication”設置是否使用基於rhosts的安全驗證。　
RhostsRSAAuthentication　no ：“RhostsRSAAuthentication”設置是否使用用RSA算法的基於rhosts的安全驗證。　
RSAAuthentication　yes　：RSAAuthentication”設置是否使用RSA算法進行安全驗證。　
PasswordAuthentication　yes ：“PasswordAuthentication”設置是否使用口令驗證。　
FallBackToRsh　no：“FallBackToRsh”設置如果用ssh連接出現錯誤是否自動使用rsh。　
UseRsh　no　：“UseRsh”設置是否在這台計算機上使用“rlogin/rsh”。　
BatchMode　no　：“BatchMode”如果設為“yes”，passphrase/password（交互式輸入口令）的提示將被禁止。當不能交互式輸入口令的時候，這個選項對腳本文件和批處理任務十分有用。　
CheckHostIP　yes　：“CheckHostIP”設置ssh是否查看連接到服務器的主機的IP地址以防止DNS欺騙。建議設置為“yes”。　
StrictHostKeyChecking　no　：“StrictHostKeyChecking”如果設置成“yes”，ssh就不會自動把計算機 的密匙加入“$HOME/.ssh/known_hosts”文件，並且一旦計算機的密匙發生了變化，就拒絕連接。　
IdentityFile　~/.ssh/identity ：“IdentityFile”設置從哪個文件讀取用戶的RSA安全驗證標識。　
Port　22　：“Port”設置連接到遠程主機的端口。　
Cipher　blowfish ：“Cipher”設置加密用的密碼。　
EscapeChar　~　：“EscapeChar”設置escape字符。