Я пытаюсь использовать SSH через jumpbox, но похоже, что SSH намеревается проверить ключи хоста для jumpbox, хотя я говорю этого не делать этого, используя обычный -o StrictHostKeyChecking=no -o UserKnownHostsFile=no параметры командной строки.
Если я использую SSH напрямую в Jumpbox, я могу заставить SSH игнорировать ошибку, как и ожидалось:
ssh -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null -i ~/.ssh/id_jumpuser_rsa jumpuser@jumpbox
Однако, если я добавлю опцию прокси-перехода, я внезапно получаю ошибку. Ошибка НЕ возникает из jumpbox, нет файлов known_hosts ни в одном каталоге .ssh на jumpbox, и я не вхожу в систему как jumpuser:
ssh -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null -i ~/.ssh/id_jumpuser_rsa -J jumpuser@jumpbox jumpuser@10.10.0.5
Сообщение об ошибке:
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
<redacted>.
Please contact your system administrator.
Add correct host key in /home/user/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /home/user/.ssh/known_hosts:10
remove with:
ssh-keygen -f "/home/user/.ssh/known_hosts" -R jumpbox
ECDSA host key for jumpbox has changed and you have requested strict checking.
Host key verification failed.
ssh_exchange_identification: Connection closed by remote host
куда user это мой обычный пользователь, а не пользователь, с которым я пытаюсь подключиться к SSH.
Я понятия не имею, что здесь происходит. Есть ли в SSH специальное переопределение, заставляющее проверять ключ хоста для ситуаций перехода через прокси? Если да, то это в высшей степени раздражает, так как это сделает локальную виртуальную машину настоящей проблемой.
В ProxyJump выдает другой ssh процесс, который не наследует аргументы командной строки, которые вы указываете в командной строке первого ssh команда. Есть два возможных выхода:
Используйте эти параметры в файле конфигурации в ~/.ssh/config - это также может сэкономить вам много ввода!
Host jumpbox
User jumpuser
StrictHostKeyChecking=no
UserKnownHostsFile=/dev/null
IdentityFile ~/.ssh/id_jumpuser_rsa
а затем вы можете подключиться так же, как ssh -J jumpbox jumpuser@10.10.0.5.
Использовать ProxyCommand вариант вместо этого - он выполняет ту же работу, но более прозрачно, чтобы вы могли видеть, что на самом деле там происходит:
ssh -o ProxyCommand="ssh -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null -i ~/.ssh/id_jumpuser_rsa -W %h:%p jumpuser@jumpbox" -i ~/.ssh/id_jumpuser_rsa jumpuser@10.10.0.5
Из отличного ответа @Jakuje я сделал этот сценарий для общего поиска файлов через хост-бастион:
#!/usr/bin/env bash
set -e
ME=$(basename $0)
log_() { echo "[$ME] $@"; }
PRIVATE_IP=$1
BASTION=$2
SOURCE=$3
TARGET=$4
USER=${5:-ubuntu}
BASTION_USER=${6:-$USER}
log_ Copying ${USER}@${PRIVATE_IP}:${SOURCE} to ${TARGET} via ${BASTION_USER}@${BASTION}
scp -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null \
-o ProxyCommand="ssh -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null -l ${BASTION_USER} -W ${PRIVATE_IP}:22 ${BASTION}" \
${USER}@${PRIVATE_IP}:${SOURCE} ${TARGET}
Это полезно, если вы настраиваете частный хост в центре обработки данных.
Я был заядлым гуглером, и это мой первый результат для stackoverflow.
Для ssh через jumpbox / bastion без лишних хлопот, без модификации системы и т. Д. Затем вы должны использовать StrictHostKeyChecking=no оба для прокси-сессии, перемычка. Также вы должны использовать StrictHostKeyChecking=no в вашем proxy_command.
Кроме того, не стоит слишком умничать и пытаться использовать UserKnownHostsFile=/dev/null либо для сеанса, либо для proxy_command, потому что ваша оболочка потеряет контекст при подключении по конвейеру и просто выйдет из строя. Больше я не занимался поиском неисправностей.
Эта команда была обнаружена при чистой загрузке файла из недавно созданного экземпляра на мою локальную рабочую станцию через Terraform local-exec поставщик
ssh -i ssh_server_key.pem -o StrictHostKeyChecking=no -o ProxyCommand="ssh -o StrictHostKeyChecking=no -i ssh_server_key.pem ec2-user@<BASTION_IP> nc <INTERNAL_IP> 22" ubuntu@<INTERNAL_IP>