it-swarm-ja.com

サーバーにSSHで接続すると、REMOTE Host IDENTIFICATIONが変更されたのに、known_hostsファイルとサーバーが変更されていないのはなぜですか?

このあいまいな問題に遭遇する可能性のある他の人を助けるために、これをここに置きます。

最近、OSXをMavericksからElCapitanにアップグレードしました。次に、以前にログインしたシステムにログインしようとしましたが、sshは次のエラーをスローしました。

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE Host IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a Host key has just been changed.
The fingerprint for the ECDSA key sent by the remote Host is
SHA256:Btm9/3heWnRLKNiuhw4efh6sQWqCr/dNJUD87ejdR6k.
Please contact your system administrator.
Add correct Host key in /Users/myuser/.ssh/known_hosts to get rid of this message.
Offending RSA key in /Users/myuser/.ssh/known_hosts:33
ECDSA Host key for real.hostname.com has changed and you have requested strict checking.
Host key verification failed.

既知のhostsファイルを調べて、公開鍵を確認しました。

real.hostname.com,192.168.0.138 ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDHxFq6UNxndgThogOpKGYHK0HpmK1niGPBdNVyo9Q8zX//ms3joRH+tvL0RigJ+i5f0qSUjK2j80BYyCjnCXkYJ+YIPOGioGiuFGuoFutvJLH4iXT652b2WxJJwPqAvz70Xez1ToFxsIl8H0noUNTmlXRsfY0G5gX+089aghq3hH8OGUIGoyGCrv7Dpdh+tiMDXQqz0R4yhOa0iAojv+SVqbzArT8/AxC8VzuNDww6Fi96rxK1vaFg9SJEegwAZzWcbUFopA4cb8r7sQ5tHG56L5zX9/Yadg4/Pf02O6dP62M1rW7x6VoG/gEa72axqV/izm7/ws7SASsiKtHKRijf

次に、別のマシンに移動し、上記のキーが他のマシンのknown_hostsファイルのキーと一致することを確認しました。次に、他のマシンからreal.hostname.comにエラーや警告なしで接続しました。

なぜこれが起こったのですか?

2
Stuart Horner

ここで重要なのは、MavericksからElCapitanへのアップグレードです。 sshクライアントがElCapitanでアップグレードされたことが判明したため、sshサーバーに接続しようとすると、「ssh-rsa」の代わりに別のキータイプが使用されるようになりました。

この場合、sshは「ecdsa-sha2-nistp256」を使用しようとします。新しいシステムでは、ドメインで「ssh-keyscan」を実行すると、ssh-rsaキータイプとecdsa-sha2-nistp256の両方が吐き出されます。

[email protected]:~$ ssh-keyscan real.hostname.com
# real.hostname.com SSH-2.0-OpenSSH_6.6.1
real.hostname.com ecdsa-sha2-nistp256 k8DaAFOzRyv0kbP8Ua48IIk8DaAFOzRyvAAIbmlzdHAyNTYAAABBBAOq0InBTTdCqbaackF5biy0QghSFZBV/MRoL936yOAXgPAnZlHl+zQ5weK7nM2UNt2qGxqWKLSZ6gE6slZnQkw=
# real.hostname.com SSH-2.0-OpenSSH_6.6.1
real.hostname.com ssh-rsa k8DaAFOzRyv0kbP8Ua48IIk8DaAFOzRyvk8DaAFOzRyv0kbP8Ua48IIk8DaAFOzRyvFq6UNxndgThogOpKGYHK0HpmK1niGPBdNVyo9Q8zX//ms3joRH+tvL0RigJ+i5f0qSUjK2j80BYyCjnCXkYJ+k8DaAFOzRyv0kbP8Ua48IIiXT652b2WxJJwPqAvz70Xez1ToFxsIl8H0noUNTmlXRsfY0G5gX+HGXoLuLsr9VEghX2oyGCrv7Dpdh+tiMDXQqz0R4yhOa0iAojv+SVqbzArT8/AxC8VzuNDww6Fi96rxK1vaFg9SJEegwAZzWcbUFopA4cb8r7sQ5tHG56L5zX9/Yadg4/Pf02O6dP62M1rW7x6VoG/gEa72axqV/izm7/ws7SASsiKtHKRijf

新しいバージョンのsshがecdsa-sha2-nistp256キータイプ文字列をssh-rsaキータイプ文字列と一致させようとすると、それらが同じマシンの2つの異なるキータイプであると認識するのではなく、失敗します。

これはバグだと思いますが、どこに投稿すればいいのかわかりません。

3
Stuart Horner