在ssh配置目录中,该文件known_hosts存储每个服务器的(IP、指纹)对。仅当服务器匹配时才可信两个都中一对情侣的元素known_hosts。
我需要连接到Nitrux 1.1.4Linux 服务器(基于内核4.14.15-041415-generic),由于多种原因,该服务器被迫使用 DHCP。它的 IP 甚至每天可能会变化几次。每一次,我都必须接受一对新的情侣(IP、指纹)的涌入known_hosts。这个解决方案也没什么用。
是否可以仅考虑其指纹而信任该主机,而不管其 IP?
正如在一个上一个问题,我正在使用这些客户端:OpenSSH_7.8p1, OpenSSL 1.1.1a-freebsd 20 Nov 2018和OpenSSH_7.6p1 Ubuntu-4ubuntu0.3, OpenSSL 1.0.2n 7 Dec 2017。
答案1
当服务器与指纹哈希之前的模式匹配时,服务器就是可信的。ssh默认情况下只添加主机名和 IP,这需要将它们都匹配。没有什么可以阻止您手动编辑known_hosts并用掩码替换IP(推荐)或完全删除IP(不太安全的方式)。
因此known_hosts 中的条目如下所示:
hostname,192.168.1.* ssh-rsa AAAAhash==
another-hostname ssh-rsa AAAAhash==
两者都适合你。
您可以在以下位置找到更详细的信息人 sshd(部分:SSH_KNOWN_HOSTS 文件格式)