Às vezes, quando me conecto via SSH a um servidor que não está no meu arquivo de hosts conhecidos, o ssh me dá a mensagem:
A autenticidade do host '[domínio] ([endereço_ip])' não pode ser estabelecida.
A impressão digital da chave RSA é [impressão digital].
Tem certeza de que deseja continuar se conectando (sim/não)?
Se eu selecionar 'sim', recebo a mensagem:
Aviso: '[domínio]' (RSA) adicionado permanentemente à lista de hosts conhecidos.
Mas para alguns outros servidores (por exemplo, github.com), não sou solicitado a continuar e, em vez disso,imediatamentereceba a seguinte mensagem, que é formulada de forma um pouco diferente:
Aviso: Adicionada permanentemente a chave de host RSA para o endereço IP '[ip_address]' à lista de hosts conhecidos.
O que causa essa diferença de comportamento? E o mais importante, quando estounãosolicitado, preciso verificar manualmente a chave que foi adicionada ao arquivoknown_hosts antes de continuar a trabalhar com o servidor?
Em ambos os casos estou autenticando via chave pública. Estou executando o OS X 10.10.3, usando o OpenSSH instalado pelo sistema.
Responder1
Isso provavelmente é causado pelo fato de que esses sites têm sua impressão digital ssh armazenada no DNS, para que não incomodem mais os usuários com a verificação da chave.
O recurso é chamado de registro SSHFP. Você pode verificar isso usandossh-keygen -r github.com
Responder2
Acontece que sou apenas um idiota.
Enquanto,como afirma Jakuje, o SSHFP permite que os sites armazenem sua impressão digital de chave pública em seus registros DNS, neste caso a chaveerajá no arquivo de hosts conhecidos, sob o nome de domínio (que descobri adicionando o -v
sinalizador de depuração ao meu ssh
comando).
Conforme explica a mensagem informativa que recebi, uma nova linha estava sendo adicionada ao arquivopara o endereço IP que está sendo usado.