У меня есть защищенный FTP-сервер (FTPS), на который мои удаленные сайты ежедневно загружают файлы с помощью выполняемых сценариев. В прошлом у меня были проблемы при обновлении оборудования и развертывании новых серверов, из-за которых RSA Fingerprint изменялся для этого сервера. Тогда все мои удаленные сайты не смогут подключиться, пока я не удалю старый ключ (обычно через ssh_keygen -r myserver.com).
Теперь мне нужно изменить IP-адрес myserver.com, и я подумал, есть ли способ проактивно генерировать новые ключи хоста, чтобы при изменении адреса сервера все удаленные сайты моих клиентов FTPS не ломались?
(Я думаю, вы имеете в виду sftp, а не ftps. Ftps не имеет ничего общего с SSH.)
Ответ - нет." Подумайте об этом с точки зрения клиента: как клиент может доверять тому, что на самом деле общается с правильным сервером, а не с мошенническим сервером? Если серверу было разрешено менять IP-адреса (или ключи) по желанию без жалоб со стороны клиента, то клиент с радостью подключился бы к мошенническому серверу.
Это неудобно, но согласовывать смену IP следует внеполосно. Например, защищенное электронное письмо, в котором говорится: «В момент X IP-адрес сервера изменится на Y; вам нужно будет обновить хранилище ключей вашего клиента». На самом деле это может быть слишком неудобно, поэтому клиенты ssh предлагают некоторые параметры конфигурации для снижения безопасности. Например, в OpenSSH есть опция CheckHostIP который при установке на no отключает проверку IP. Тем не менее, именно клиент, а не сервер, решает, доверять серверу или нет.