Назад | Перейти на главную страницу

Процесс переноса ключей SSH-сервера на новый сервер

Вскоре планируется перевод сервера на новое оборудование в новом центре обработки данных, и, конечно же, это означает новый IP.

Каков правильный процесс (если вообще) для перемещения ключей SSH с исходного сервера на новый, чтобы подключающиеся клиенты не получали никаких предупреждений и не должны были снова принимать что-либо?

Это вообще возможно, учитывая, что IP меняется?

Какие файлы мне нужно переместить? Я предполагаю, что все файлы ssh_host_ *.

Переход с RHEL 5 на Ubuntu 10.04.

Вы можете без особых хлопот переместить ключи с вашего текущего сервера на новый сервер. Вам просто нужно убедиться, что они заходят в одно место и имеют одинаковое разрешение.

Однако в идеале вы должны воспользоваться возможностью для создания новых ключей и обновления клиентских ключей в интересах безопасности.

1) Если ваши файлы конфигурации sshd хранятся в / etc / ssh /, вам нужно скопировать их все. Вы найдете там конфигурацию sshd, а также пару ключей хоста.

Убедитесь, что вы также правильно скопировали разрешения! Sshd просто игнорирует ключи, которые не защищены должным образом. (Также хорошо, поскольку незащищенный закрытый ключ - очень плохая идея.)

2) Если вы уже добавили открытые ключи удаленных хостов, которым доверяют и которым больше не требуется пароль для входа в систему, вам также придется скопировать эту информацию, чтобы автоматический вход снова заработал. Эта информация обычно хранится в /home/-account-/.ssh/ (под authorized_keys). Опять же, не забывайте о разрешениях здесь.


Что касается изменения IP-адреса, предполагая, что удаленные клиенты действительно видят изменение IP (вы не находитесь за каким-то обратным прокси-сервером или чем-то еще), тогда нет, они потребуют, чтобы пользователь снова принял сертификат. (поскольку в файле known_hosts удаленного клиента IP-адрес сервера и сертификат сервера хранились вместе) Хуже того, если вы назначите этот IP-адрес другому ssh-серверу, они могут даже быть предупреждены об атаке «человек посередине».

Поэтому имеет смысл просто использовать тот же (внешний) IP-адрес на новом сервере.

Вы не упомянули свою ОС. Я могу точно сказать, что на хосте RHEL ключи сервера хранятся в / etc / ssh. Просто скопируйте этот каталог полностью. Затем вам нужно будет отскочить sshd / перезапустить окно.

Я считаю, что пока вы подключаетесь через одно и то же DNS-имя, вы не должны получать предупреждений. Даже с новым IP.


- Кристофер Карел