Я пытаюсь вызвать среду gitlab с настройкой баланса нагрузки ... У меня проблема в том, что пользователь ssh to LB с помощью putty или git bash получает ошибку ниже.
Ключ хоста сервера не соответствует тому, который PuTTY кэшировал в реестре.
Я попытался добавить следующую конфигурацию, но это не помогло, на веб-сайте Putty четко сказано, что Putty никогда не позволит вам обойти без ручного вмешательства.
StrictHostKeyChecking no UserKnownHostsFile /dev/null
После прочтения большого количества форумов остается единственный вариант - сделать ключ ssh одинаковым на всех серверах.
Это вызовет другие проблемы?
Я вижу, что если одна машина скомпрометирована, и злоумышленник может проникнуть на другие серверы, так как это в интрасети, будет ли это проблемой?
«Единственный вариант, оставшийся после прочтения большого количества форумов, - это сделать ключ ssh одинаковым на всех серверах».
Думаю, есть еще вариант: можно использовать сертификаты ssh.
SSH на самом деле имеет возможность использовать центр сертификации для аутентификации серверов и клиентов. Это работает в обоих направлениях. Используя эту систему, вы можете аутентифицировать хост перед клиентом, избегая запутанных сообщений о невозможности проверить подлинность хоста. Вы также можете проверить клиента на хосте, что позволит вам зарегистрировать новый ключ SSH в одном месте и разрешить доступ для всей вашей организации.
Совместное использование ключа хоста не должно быть проблемой.
SSH обычно использует обмен ключами Диффи-Хеллмана (который можно даже принудительно установить, установив KexAlgorithms в вашем sshd_config), что означает, что даже если злоумышленник владеет закрытым ключом хоста, он не может пассивно расшифровать соединения с другими серверами с тем же ключом хоста. В этом сценарии ключ хоста действительно используется только для проверки подлинности сервера.
Кроме того, даже если злоумышленник, которому принадлежал один из ваших серверов, смог бы вторгнуться в другие ваши серверы (что он, вероятно, и есть, так же, как он проник на первый), в чем бы его выгода? Будучи балансировщиками нагрузки, все серверы, вероятно, имеют одинаковые разрешения и доступ к интрасети, поэтому злоумышленнику достаточно иметь контроль над одним из них, я не вижу преимущества в том, чтобы иметь контроль над всеми из них.