Re: SSH a testovaci IP adresa
Michal Čihař
On Wednesday 21 September 2005 13:43, Jan Kasprzak wrote:
> ve sve siti pouzivam jednu IP adresu pro zapojovani stroju ktere budto
> nove instaluji, nebo ktere treba docasne kontroluji. Problem je, ze kdyz
> se na tuto IP adresu hlasim ze sve pracovni stanice, prida se jeji
> klic do ~/.ssh/known_hosts, a priste az instaluju novy stroj, tak mi
> ssh nadava, a musim rucne mazat radek v .ssh/known_hosts. Podobne
> mi ssh nadava kdyz pouzivam SSH nad SSH port forwardingem(*) - taky si
> po "ssh -P 1234 user@localhost" ulozi pod jmeno "localhost" klic stroje
> kam je port forwardovany, a priste az forwarduju jinam, mi nadava
> ze se zmenil klic localhosta.
>
> Existuje nejaky parametr, kterym bych mohl uplne vypnout
> kontrolu host key pro urcitou IP adresu a pritom mohl pouzivat
> autentizaci heslem?
StrictHostKeyChecking no? Sice to bude řvát, že se klíč změnil, ale jenom jako
warning.
--
Michal Čihař | http://cihar.com
Jan Kasprzak
ve sve siti pouzivam jednu IP adresu pro zapojovani stroju ktere budto
nove instaluji, nebo ktere treba docasne kontroluji. Problem je, ze kdyz
se na tuto IP adresu hlasim ze sve pracovni stanice, prida se jeji
klic do ~/.ssh/known_hosts, a priste az instaluju novy stroj, tak mi
ssh nadava, a musim rucne mazat radek v .ssh/known_hosts. Podobne
mi ssh nadava kdyz pouzivam SSH nad SSH port forwardingem(*) - taky si
po "ssh -P 1234 user@localhost" ulozi pod jmeno "localhost" klic stroje
kam je port forwardovany, a priste az forwarduju jinam, mi nadava
ze se zmenil klic localhosta.
Existuje nejaky parametr, kterym bych mohl uplne vypnout
kontrolu host key pro urcitou IP adresu a pritom mohl pouzivat
autentizaci heslem?
Ten druhy pripad lze asi resit pres NoHostAuthenticationForLocalhost
nebo HostKeyAlias, ale u toho prvniho fakt nevim. Mozna jsem neco
prehledl (cetl jsem ssh_config(5) jen zbezne okolo retezcu "HostKey"
a "host key").
Diky,
-Y.
(*) a nesnazte se mi vysvetlovat ze je to blbost :-)
--
| Jan "Yenya" Kasprzak <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839 Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/ Journal: http://www.fi.muni.cz/~kas/blog/ |
>>> $ cd my-kernel-tree-2.6 <<<
>>> $ dotest /path/to/mbox # yes, Linus has no taste in naming scripts <<<
---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list
TIP: Musi vase odpoved jit do konference nebo staci jen autorovi?
Ing. Pavel PaJaSoft Janoušek
> Existuje nejaky parametr, kterym bych mohl uplne vypnout
> kontrolu host key pro urcitou IP adresu a pritom mohl pouzivat
> autentizaci heslem?
Vzhledem k tomu, že mne toto chování děsně se**, zejména v
prostředí(ch) podobných Vašemu, jal jsem se pátrat po příčinách a zlepšení
stavu. Bylo mi tvrzeno, že je to v pořádku, zdravá úroveň paranoi prý je
zdravá a jestli chci, ať si to do source doplním a protlačím do Linux portu
OpenSSH sám...
Podobný případ jako proč do dnes OpenSSH neumí resume na
přenos...:-(
Tož tak...
-------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft) FoNet, spol. s r. o.
Technicka podpora, Intranet/Internet Sokolova 67, 619 00 Brno
E-mail: mailto:Jano...@FoNet.Cz Tel.: +420 5 4324 4749
WWW: http://WWW.FoNet.Cz/ E-mail: mailto:In...@FoNet.Cz
-------------------------------------------------------------------
---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list
TIP: Hardwarova kompatibilita? http://hardware.penguin.cz/
Radek Smidl
mozna pomuze parametr StrictHostKeyChecking=no
Radek S.
Jan Kasprzak wrote:
> Zdravim,
>
> ve sve siti pouzivam jednu IP adresu pro zapojovani stroju ktere budto
> nove instaluji, nebo ktere treba docasne kontroluji. Problem je, ze kdyz
> se na tuto IP adresu hlasim ze sve pracovni stanice, prida se jeji
> klic do ~/.ssh/known_hosts, a priste az instaluju novy stroj, tak mi
> ssh nadava, a musim rucne mazat radek v .ssh/known_hosts. Podobne
> mi ssh nadava kdyz pouzivam SSH nad SSH port forwardingem(*) - taky si
> po "ssh -P 1234 user@localhost" ulozi pod jmeno "localhost" klic stroje
> kam je port forwardovany, a priste az forwarduju jinam, mi nadava
> ze se zmenil klic localhosta.
>
> Existuje nejaky parametr, kterym bych mohl uplne vypnout
> kontrolu host key pro urcitou IP adresu a pritom mohl pouzivat
> autentizaci heslem?
>
> Ten druhy pripad lze asi resit pres NoHostAuthenticationForLocalhost
> nebo HostKeyAlias, ale u toho prvniho fakt nevim. Mozna jsem neco
> prehledl (cetl jsem ssh_config(5) jen zbezne okolo retezcu "HostKey"
> a "host key").
>
> Diky,
>
> -Y.
>
> (*) a nesnazte se mi vysvetlovat ze je to blbost :-)
>
---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list
TIP: Pred polozenim dotazu si nejprve prectete dokumentaci k programu
Petr Lascak
> Zdravim,
>
> ve sve siti pouzivam jednu IP adresu pro zapojovani stroju ktere budto
> nove instaluji, nebo ktere treba docasne kontroluji. Problem je, ze kdyz
> se na tuto IP adresu hlasim ze sve pracovni stanice, prida se jeji
> klic do ~/.ssh/known_hosts, a priste az instaluju novy stroj, tak mi
> ssh nadava, a musim rucne mazat radek v .ssh/known_hosts. Podobne
> mi ssh nadava kdyz pouzivam SSH nad SSH port forwardingem(*) - taky si
Trosku to je asi ukrok stranou, ale je mozne na toto pouzit putty
pro Linux, tam je defaultne jen varovani.
--
Petr Lascak
ITF FreeNet Liberec
http://www.lbcfree.net/
---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list
TIP: Ctete FAQ - http://www.phil.muni.cz/~letty/linuxfaq/
Jan Houstek
> Existuje nejaky parametr, kterym bych mohl uplne vypnout
> kontrolu host key pro urcitou IP adresu a pritom mohl pouzivat
> autentizaci heslem?
Opravdu te lokalni siti verite natolik, ze verite tomu klici, ktery vam
server oznami? Pokud byste totiz ten klic pred pokusem o navazani spojeni
do known_hosts ulozil, tak je uplne jedno, ze jich tam k jedne IP adrese
budete mit vic.
Sice ted dostanu vynadano za to, ze odpovidam na neco jineho, nez jste se
ptal, ale fakt si myslim, ze chovani openssh je v tomto velmi spravne a
kdo opravdu chce na autentizaci serveru kaslat, pro toho je
StrictHostKeyChecking no.
-- Honza Houstek
---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list
TIP: Prohledejte ftp.linux.cz: http://ftp.linux.cz/pub/
Vasek Stodulka
> Existuje nejaky parametr, kterym bych mohl uplne vypnout
> kontrolu host key pro urcitou IP adresu a pritom mohl pouzivat
> autentizaci heslem?
No pokud by ti nevadil jiny ssh server, tak dropbear se chova trochu
divne v tom, ze pokud nesedi klic, tak misto odmitnuti nabidne ulozeni
klice. Kdyz pak zadas ze jo (ulozit), tak si prida do known_hosts dalsi
radek. Pokud je tam vic radku se stejnou adresou, tak zkousi postupne
vsechny klice k dane adrese a musi mu sedet aspon jeden (jinak nabidne
ulozeni). Kdyz si udelas alias, tak budes v pohode a dokonce to bude mit
i kousek vetsi miru bezpecnosti. Ted je jenom otazka, jestli ti dropbear
staci - precejenom nema moznosti openssh...
--
Vašek Stodůlka
tel.: +420 608 200 860
Matus UHLAR - fantomas
>> Existuje nejaky parametr, kterym bych mohl uplne vypnout kontrolu
>> host key pro urcitou IP adresu a pritom mohl pouzivat autentizaci heslem?
Michal Čihař <mic...@cihar.com> wrote:
> StrictHostKeyChecking no? Sice to bude řvát, že se klíč změnil, ale jenom
> jako warning.
a tento option by mohol ist do sekcie pre uvedeny host/IP cim by sa paranoja
vypinala len pre zvoleny stroj...
--
Matus UHLAR - fantomas, uh...@fantomas.sk ; http://www.fantomas.sk/
Warning: I wish NOT to receive e-mail advertising to this address.
Varovanie: na tuto adresu chcem NEDOSTAVAT akukolvek reklamnu postu.
Micro$oft random number generator: 0, 0, 0, 4.33e+67, 0, 0, 0...
Vasek Stodulka
> > Existuje nejaky parametr, kterym bych mohl uplne vypnout
> > kontrolu host key pro urcitou IP adresu a pritom mohl pouzivat
> > autentizaci heslem?
>
> No pokud by ti nevadil jiny ssh server, tak dropbear se chova trochu
^^^^^^
samozrejme ze klient, sry. :)
Jan Kasprzak
: > On Wednesday 21 September 2005 13:43, Jan Kasprzak wrote:
: >> Existuje nejaky parametr, kterym bych mohl uplne vypnout kontrolu
: >> host key pro urcitou IP adresu a pritom mohl pouzivat autentizaci heslem?
:
: Michal Čihař <mic...@cihar.com> wrote:
: > StrictHostKeyChecking no? Sice to bude řvát, že se klíč změnil, ale jenom
: > jako warning.
Ano, myslel jsem si ze toto bude reseni. Bohuzel tato volba nejen
ze rve, ale navic nepovoli password autentizaci.
: a tento option by mohol ist do sekcie pre uvedeny host/IP cim by sa paranoja
: vypinala len pre zvoleny stroj...
Presne to jsem mel v umyslu, ale nevim jak udelat tu prvni fazi.
-Y.
--
| Jan "Yenya" Kasprzak <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839 Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/ Journal: http://www.fi.muni.cz/~kas/blog/ |
>>> $ cd my-kernel-tree-2.6 <<<
>>> $ dotest /path/to/mbox # yes, Linus has no taste in naming scripts <<<
---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list
TIP: Navrhy na dalsi tipy piste na linux...@linux.cz
Jan Kasprzak
: On Wed, 21 Sep 2005, Jan Kasprzak wrote:
: > Existuje nejaky parametr, kterym bych mohl uplne vypnout
: > kontrolu host key pro urcitou IP adresu a pritom mohl pouzivat
: > autentizaci heslem?
:
: Opravdu te lokalni siti verite natolik, ze verite tomu klici, ktery vam
: server oznami?
Rekneme ze verim.
: Pokud byste totiz ten klic pred pokusem o navazani spojeni
: do known_hosts ulozil, tak je uplne jedno, ze jich tam k jedne IP adrese
: budete mit vic.
A kde ho nezavisle mam vzit? Kopirovat z nove nainstalovaneho stroje
na diskete? Vyhovovalo by mi, kdybych mohl nastavit, aby si ten klic ulozil,
protoze stejne nemam jinou (casove rozumnou) cestu jak ten klic ziskat.
Pro tu jednu testovaci IP adresu, samozrejme ne obecne.
:
: Sice ted dostanu vynadano za to, ze odpovidam na neco jineho, nez jste se
: ptal, ale fakt si myslim, ze chovani openssh je v tomto velmi spravne a
: kdo opravdu chce na autentizaci serveru kaslat, pro toho je
: StrictHostKeyChecking no.
Bohuzel ani tato volba neresi to co chci.
-Jan Kasprzak
--
| Jan "Yenya" Kasprzak <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839 Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/ Journal: http://www.fi.muni.cz/~kas/blog/ |
>>> $ cd my-kernel-tree-2.6 <<<
>>> $ dotest /path/to/mbox # yes, Linus has no taste in naming scripts <<<
---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list
Michal Čihař
> Matus UHLAR - fantomas wrote:
> : > On Wednesday 21 September 2005 13:43, Jan Kasprzak wrote:
> : >> Existuje nejaky parametr, kterym bych mohl uplne vypnout
> : >> kontrolu host key pro urcitou IP adresu a pritom mohl pouzivat
> : >> autentizaci heslem?
> :
> : Michal Čihař <mic...@cihar.com> wrote:
> : > StrictHostKeyChecking no? Sice to bude řvát, že se klíč změnil, ale
> : > jenom jako warning.
>
> Ano, myslel jsem si ze toto bude reseni. Bohuzel tato volba nejen
> ze rve, ale navic nepovoli password autentizaci.
Přesně tak, zakáže to spoustu věcí, mezi nimi i password autentizaci. V
podstatě jediné co funguje je přihlašování pomocí klíčů bez jakéhokoliv
forwardování.
Pavel Kankovsky
> Existuje nejaky parametr, kterym bych mohl uplne vypnout
> kontrolu host key pro urcitou IP adresu a pritom mohl pouzivat
> autentizaci heslem?
Pouzil bych kombinaci -oCheckHostIP=no, kterym lze zablokovat kontrolu
klicu podle IP adres, a -oHostKeyAlias (nebo ruznych jmen pro jednu IP
adresu v DNS), abych SSH presvedcil, ze si ma jejich verejne klice
pamatovat pod ruznymi nazvy.
A nebo proste -oUserKnownHostsFile=/dev/null a on nove zjisteny klic
zapise do /dev/null, tedy ihned zapomene. Jakkoli to muze znit prekvapive,
tak to funguje.
PS pro Honzu Houstka: Ted jak jsem s tim experimentoval, tak jsem vyrobil
par pokusu na Tvoje servery.
--Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."
---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list
TIP: Jak na lokalizaci? Czech Howto! http://www.penguin.cz/czech-howto/
Jan Kasprzak
: On Wed, 21 Sep 2005, Jan Kasprzak wrote:
:
: > Existuje nejaky parametr, kterym bych mohl uplne vypnout
: > kontrolu host key pro urcitou IP adresu a pritom mohl pouzivat
: > autentizaci heslem?
:
: Pouzil bych kombinaci -oCheckHostIP=no, kterym lze zablokovat kontrolu
: klicu podle IP adres, a -oHostKeyAlias (nebo ruznych jmen pro jednu IP
: adresu v DNS), abych SSH presvedcil, ze si ma jejich verejne klice
: pamatovat pod ruznymi nazvy.
Jo, jenze to znamena pokazde psat neco navic na prikazovou
radku (coz je zhruba ekvivalentni tomu mazat klic z known_hosts).
:
: A nebo proste -oUserKnownHostsFile=/dev/null a on nove zjisteny klic
: zapise do /dev/null, tedy ihned zapomene. Jakkoli to muze znit prekvapive,
: tak to funguje.
Tohle asi bude ono, doufam ze to jde dat do ssh_config do sekce
pro jednoho Hosta.
-Y.
--
| Jan "Yenya" Kasprzak <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839 Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/ Journal: http://www.fi.muni.cz/~kas/blog/ |
>>> $ cd my-kernel-tree-2.6 <<<
>>> $ dotest /path/to/mbox # yes, Linus has no taste in naming scripts <<<
---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list
Jaroslav Prodelal
> : zapise do /dev/null, tedy ihned zapomene. Jakkoli to muze znit prekvapive,
> : tak to funguje.
>
> Tohle asi bude ono, doufam ze to jde dat do ssh_config do sekce
> pro jednoho Hosta.
A nebo by to slo udelat jako alias, napr.:
alias mssh="ssh -o UserKnownHostsFile=/dev/null ..."
--ogee
---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list
TIP: Konference o sprave Internetovych siti: net na list...@cs.felk.cvut.cz
Jan Kasprzak
: > : A nebo proste -oUserKnownHostsFile=/dev/null a on nove zjisteny klic
: > : zapise do /dev/null, tedy ihned zapomene. Jakkoli to muze znit prekvapive,
: > : tak to funguje.
: >
: > Tohle asi bude ono, doufam ze to jde dat do ssh_config do sekce
: > pro jednoho Hosta.
:
: A nebo by to slo udelat jako alias, napr.:
:
: alias mssh="ssh -o UserKnownHostsFile=/dev/null ..."
To uz je lepsi rucne rusit radek z known_hosts nez si pamatovat,
jaky ze alias jsem tomu programu pouzivanemu jednou za mesic az dva dal.
-Y.
--
| Jan "Yenya" Kasprzak <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839 Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/ Journal: http://www.fi.muni.cz/~kas/blog/ |
>>> $ cd my-kernel-tree-2.6 <<<
>>> $ dotest /path/to/mbox # yes, Linus has no taste in naming scripts <<<
---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list
Jan Kasprzak
: : A nebo proste -oUserKnownHostsFile=/dev/null a on nove zjisteny klic
: : zapise do /dev/null, tedy ihned zapomene. Jakkoli to muze znit prekvapive,
: : tak to funguje.
:
: Tohle asi bude ono, doufam ze to jde dat do ssh_config do sekce
: pro jednoho Hosta.
Vracim se ke starsimu threadu - dneska jsem to zase potreboval,
a opravdu jsem vyzkousel, ze
Host testovaci
UserKnownHostsFile /dev/null
do ~/.ssh/config opravdu funguje.
-Y.
--
| Jan "Yenya" Kasprzak <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839 Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/ Journal: http://www.fi.muni.cz/~kas/blog/ |
> Specs are a basis for _talking_about_ things. But they are _not_ a basis <
> for implementing software. --Linus Torvalds <