关闭ssh使用DNS、秘钥检查的配置-编程知识

关闭ssh使用DNS、秘钥检查的配置

news/2024/11/15 9:43:39/文章来源:https://www.cnblogs.com/wangdidi/p/18547374

一、何为UseDNS？何为GSSAPIAuthentication?

1. 关闭UseDNS和GSSAPIAuthentication

UseDNS yse : 服务器会先根据客户端的 IP地址进行 DNS PTR反向查询出客户端的主机名，然后根据查询出的客户端主机名进行DNS正向A记录查询，并验证是否与原始 IP地址一致，通过此种措施来防止客户端欺骗。
GSSAPIAuthentication yes : 基于 GSSAPI 的用户认证，服务器端默认启用了GSSAPI。登陆的时候客户端需要对服务器端的IP地址进行反解析，如果服务器的IP地址没有配置PTR记录，那么就会在这里卡住。

2.如何关闭

echo 'UseDNS no' >>/etc/ssh/sshd_config

sed -i 's/#GSSAPIAuthentication yes/GSSAPIAuthentication no/g' /etc/ssh/sshd_configsystemctl restart sshd

二、在用ssh客户端第一次登录远程Linux的时候通常会报如下的错误

The authenticity of host 'IP' can't be established.
ECDSA key fingerprint is SHA256:+9UZGqPe/Rdaiz9jTg0P5ZtGMl6gVP0i+iPTh8sHwt4.
Are you sure you want to continue connecting (yes/no)?
Host key verification failed.

在这过程中，即使你选择了yes，也是连接不上的。

分析

原因在于每次远程登录Linux的时候，Linux都要检查一下，当前访问的计算机公钥是不是在~/.ssh/know_hosts中，这个文件时OpenSSH记录的。当下次访问相同计算机时，OpenSSH会核对公钥。如果公钥不同，OpenSSH会发出警告，避免你受到DNS Hijack之类的攻击。SSH对主机的public_key的检查等级是根据StrictHostKeyChecking变量来配置的。默认情况下，StrictHostKeyChecking=ask。简单所下它的三种配置值：
1.StrictHostKeyChecking=no
最不安全的级别，当然也没有那么多烦人的提示了，相对安全的内网测试时建议使用。如果连接server的key在本地不存在，那么就自动添加到文件中（默认是known_hosts），并且给出一个警告。
2.StrictHostKeyChecking=ask #默认的级别，就是出现刚才的提示了。如果连接和key不匹配，给出提示，并拒绝登录。
3.StrictHostKeyChecking=yes #最安全的级别，如果连接与key不匹配，就拒绝连接，不会提示详细信息。

解决方法

根据上面的理论，我们用下面的命令登录就不会出问题了。

ssh  -o StrictHostKeyChecking=no username@10.10.xxx.xx
修改/etc/ssh/ssh_config文件（或$HOME/.ssh/config）中的配置，添加如下两行配置：
StrictHostKeyChecking no
UserKnownHostsFile /dev/null

之后记得重启，顺便使用在什么环境下的服务器考虑一下安全性问题。

sshpass

基本用法‌

‌自动输入密码‌：使用sshpass -p '密码' ssh 用户名@主机名命令可以自动输入密码进行远程连接。
‌远程连接指定端口‌：使用sshpass -p '密码' -p 端口号 ssh 用户名@主机名可以连接到指定端口。
‌密码文件读取‌：使用sshpass -f 密码文件 ssh 用户名@主机名可以从文件中读取密码进行连接。
‌执行命令‌：使用sshpass -p '密码' ssh -o StrictHostKeyChecking=no 用户名@主机名 '命令'可以在远程主机上执行命令，-o StrictHostKeyChecking=no选项可以忽略密码提示。

安装方法

‌使用yum安装‌：在基于RPM的系统中，可以使用yum install sshpass命令安装sshpass。
‌从源代码安装‌：如果yum安装不上，可以从SourceForge下载源代码包，解压后配置、编译并安装。

配置和使用示例

‌配置别名‌：可以在.bashrc或.zshrc文件中配置sshpass的别名，方便快速连接主机。
‌自动接受主机指纹‌：使用ssh-keyscan命令预先获取远程主机的指纹，并添加到known_hosts文件中，或者在连接时使用-o StrictHostKeyChecking=no选项临时禁用主机密钥检查。
‌脚本使用‌：可以编写脚本使用sshpass自动化执行远程操作，例如自动上传文件、执行命令等。