SSHリモートホストキーが不明な場合は失敗する

Question 1

呼び出し-o StrictHostKeyChecking=yesに使用:ssh

このフラグが yes に設定されている場合、ssh(1) はホストキーを ~/.ssh/known_hosts ファイルに自動的に追加することはなく、ホストキーが変更されたホストへの接続を拒否します。

デフォルトはask、これが問題が発生する理由です:

このフラグが ask (デフォルト) に設定されている場合、ユーザーが本当に実行したいことを確認した後にのみ、新しいホストキーがユーザーの既知のホストファイルに追加され、ssh はホストキーが変更されたホストへの接続を拒否します。

Answer

呼び出し-o StrictHostKeyChecking=yesに使用:ssh

このフラグが yes に設定されている場合、ssh(1) はホストキーを ~/.ssh/known_hosts ファイルに自動的に追加することはなく、ホストキーが変更されたホストへの接続を拒否します。

デフォルトはask、これが問題が発生する理由です:

このフラグが ask (デフォルト) に設定されている場合、ユーザーが本当に実行したいことを確認した後にのみ、新しいホストキーがユーザーの既知のホストファイルに追加され、ssh はホストキーが変更されたホストへの接続を拒否します。

Question 2

回避策として、ホストが信頼できるかどうかを自分で確認できます。

$ ssh-keygen -H -F host.example.com
# Host host.example.com found: line 205 type RSA
...

ここでは ssh-keygen はいずれの場合でも 0 で終了するので、出力を確認する必要があります。

ssh-keygen -H -F host.example.com |
   grep -q found: || echo "host is not trusted" && exit 2

Answer

回避策として、ホストが信頼できるかどうかを自分で確認できます。

$ ssh-keygen -H -F host.example.com
# Host host.example.com found: line 205 type RSA
...

ここでは ssh-keygen はいずれの場合でも 0 で終了するので、出力を確認する必要があります。

ssh-keygen -H -F host.example.com |
   grep -q found: || echo "host is not trusted" && exit 2

Question 3

-oBatchMode=yesユーザーの操作が必要な場合 (パスワードの要求、リモートホストキーの確認など) に失敗するように使用できます。

Answer

-oBatchMode=yesユーザーの操作が必要な場合 (パスワードの要求、リモートホストキーの確認など) に失敗するように使用できます。

Question 4

次のようなデフォルトオプションを ~/.ssh/config に追加できます。

Host *
    StrictHostKeyChecking no

これにより、不明または変更されたホストキーに関する SSH のエラーが無効になります。

適切なホストパターンを指定することにより、これらのオプションをホストのセットに制限できます。

Answer

次のようなデフォルトオプションを ~/.ssh/config に追加できます。

Host *
    StrictHostKeyChecking no

これにより、不明または変更されたホストキーに関する SSH のエラーが無効になります。

適切なホストパターンを指定することにより、これらのオプションをホストのセットに制限できます。

関連情報