一、問題現象
[root@vfc-ding02 ~]# scp -p22 ./data.zip root@10.0.7.123:/data/ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:uIDTPsLjcWOl6LYwJhm34mXllNQxm3qg3fVquwjSpE4. Please contact your system administrator. Add correct host key in /root/.ssh/known_hosts to get rid of this message. Offending ECDSA key in /root/.ssh/known_hosts:1 ECDSA host key for 10.0.7.123 has changed and you have requested strict checking. Host key verification failed. lost connection
Linux兩台主機之間進行文件拷貝,但是提示無法ssh訪問,報錯如上,用OpenSSH的人都知ssh會把你每個你訪問過計算機的公鑰(public key)都記錄在~/.ssh/known_hosts。當下次訪問相同計算機時,OpenSSH會核對公鑰。如果公鑰不同,OpenSSH會發出警告,避免你受到DNS Hijack之類的攻擊。
二、具體解決辦法
SSH對主機的public_key的檢查等級是根據StrictHostKeyChecking變量來配置的。默認情況下,StrictHostKeyChecking=ask。簡單描述下它的三種配置值:
1.StrictHostKeyChecking=no //最不安全的級別,當然也沒有那么多煩人的提示了,相對安全的內網時建議使用。如果連接server的key在本地不存在,那么就自動添加到文件中(默認是known_hosts),並且給出一個警告。
2.StrictHostKeyChecking=ask //默認的級別,就是出現剛才的提示了。如果連接和key不匹配,給出提示,並拒絕登錄。
3.StrictHostKeyChecking=yes //最安全的級別,如果連接與key不匹配,就拒絕連接,不會提示詳細信息。
日常運維推薦大家可使用第二種方法。下面把具體解決辦法發下:
解決方法1:在開發、測試環境中為了方便日常操作與維護,可以將安全級別設置為最低。
StrictHostKeyChecking no UserKnownHostsFile /dev/null
注意:這里為了簡便,將knownhostfile設為/dev/null,就不保存在known_hosts中了。
解決方法2:直接在known_hosts中對相關IP的RSA信息進行刪除操作;
vi ~/.ssh/known_hosts 刪除對應ip的相關rsa信息 10.0.7.123 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBBhjHG5+lJEDCqEwXQMEYNSH02tRBZXlQh58RpiOgqcc/fAeuyaubRjmok6/znU9agTHV6AP1Gz4cThOKQl3LxI=
解決方法3:直接將known_hosts刪除
rm -rf known_hosts