サーバ再セットアップ時のssh接続クリア
サーバ再セットアップ時のssh接続クリア
0.改訂履歴
1.はじめに
このドキュメントでは,sshで接続していた相手サーバが,再セットアップされたときにシグネチャが異なるので細説属できない場合に,それをクリアする手順を説明する.
なお,使用しているプラットホームは,sshdがRedHatLinux 7.3,sshクライアントはMacOS X 10.2.3であるが,一般的なUnix関係だと同様だと思われる.
2.接続してみる.
- 以前,1回接続したことのあるsshdサーバにsshで接続してみる.
[PBG4-667:~] shinnai% ssh -l xserve 10.0.4.100
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
8d:ad:a0:90:03:82:e8:9e:9b:4d:17:d8:39:e6:6c:11.
Please contact your system administrator.
Add correct host key in /Users/shinnai/.ssh/known_hosts to get rid of this message.
Offending key in /Users/shinnai/.ssh/known_hosts:10
RSA host key for 10.0.4.100 has changed and you have requested strict checking.
Host key verification failed.
[PBG4-667:~] shinnai%
|
- エラーが出て接続できない.
- このエラーは,メッセージにあるとおり,接続先(サーバ)のホストIDが,以前接続した時と変更されているので,前と同じサーバだと保証できないというエラー.
3.解説
- sshでは,初回接続時に,sshdサーバの公開キーを受け取る.
- 次回接続からは,そのローカルの公開キーをsshdサーバに送信し,相手が同一のホストか否かを検証する.(仕組みについてはドキュメント「電子署名 解説」を参照)
- 今回は,マシンを再セットアップしたので,署名自体が変更されている.
- よって接続時にエラーが出る.
- つまり,クライアントのローカルに保存されている公開キーを削除すればよい.
4.公開キーの確認
- 公開キーは,ホームディレクトリ上の.sshディレクトリ以下に保存されている.
- 以下に確認してみる.
[PBG4-667:~] shinnai% cd
[PBG4-667:~] shinnai% cd .ssh
[PBG4-667:~/.ssh] shinnai% ls -la
total 8
drwx------ 3 shinnai staff 102 Aug 6 12:53 .
drwxr-xr-x 45 shinnai staff 1530 Jan 15 01:00 ..
-rw-r--r-- 1 shinnai staff 3035 Jan 10 15:49 known_hosts
[PBG4-667:~/.ssh] shinnai%
|
- このknown_hostsファイルを確認してみる.
[PBG4-667:~/.ssh] shinnai% cat known_hosts
xserve.tokyo.apple.co.jp,123.123.112.233 ssh-dss AAAAB3NzaC1kc3MAAACBAMi
VmLM3zSPtfszaj4GWd8FzifJoAAMqhfcykt2VtUSY9RwyJ3TsPz31NdgWegQmwa0wXVcrQzYk
/WnevuBydNliX4hXUby/ZmS4OdCEEU/o3rylwzYrNoNoaI5cWZ0IQdRXTHgHfT0b1/om8qNsl
/bt/1tCy1obqRhdY9qPVBURAAAAFQDhZ0R0ks9/FuJQ2DImXYE6zLX27wAAAIEAlsEd9jW6eE
djxLIHndu3T+CQL2RvzzzNNVPPgTQv2seUnyyB+J0y6AzaJqq6neLBcbgWL4dMpZBrKlPsxfA
pETHEp0t2P8VtjFy2NDZWHIvYWZxLQQ5KHq3cK3268wFy3ycIfWVy05QGigo+AhDdSnjxr+hr
KupImqjgNm6FiKBCYxfCc6X9KLCBtwf3nPaK7ShAl5Xbpd1L64c173018Ufcmz0/OQeVPB6BG
aYMK1ueMy89KwQUAAACAeWNLEX0COBu+BP6CndTNEALdw35KzCgEQ6ai0XLlaVhx0CqbAfN/i
nnu3stxmBOIMu+m3nBTVbwRfuZ//TTM6e15o4Fb8THOVc=
192.168.111.12 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAu8aeOko+i2bmvm7R+SWtph
ag9/6qhuMbAGgNz4EY0lb//7j9fGk+gi3rtu1X7QzbqHwH58cEuQZugHTn1YxRUuEdeB8zmwY
WlUH0Qha3RdHOc0NVG/1ROublvwbQ4g1gR2oHVae5mjNV5EYT2p8wauo7J5B6EHlHZu8alBQE
gD0=
10.0.2.32 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAuQPoxUqIp8gWD/KRmCjlEMT8tHA
L3RIZST7qbRvBnwSp+fBtzMxd6Oa6tQwsxCXKcbbDB+6rwPZOaU5rLcXg7HXzA1EzRGSPaO8k
q1RFMoEaYeGzTfMx08kM7MOnl48WdDeE52onVmkyGo7ZVake8VY3L5gE0SldNRQuoWlfPHk=
172.68.129.220 ssh-rsa AAAAB3NzaC1EA8BuVu37x4F62Auu56nSyc2EAAAABIwAAAIQGl
wutmJBs7XR6KyfVG3nfGbI5enogyV7gLCZDo/opLubg2xUxNsShntJHeg316swOds0vixk5B0
unlTm+gHmfwyW40bvkuCEaDucXuvPWTOGIUm82WaMebsNgM5zwQ+Fw120i+VmCkhmvPYaS5Sa
ls0=
10.0.4.90 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEA5PkqbSovmd2h9IEPQv2iBTRjXPI
xcXRyYS2QliuGcLmjgAQf1G0LClTqU3YwXaOm/2dicl9HVSjIaxUdI72rLuETzZOK2U/Vz6h3
t5pHkDmRjrHWmV0VQx/spXEWLXEhO1OU1aK8NOz3skOmemm76qyB4fX/Cj4M8jGG6MNgS9s=
10.0.4.20 ssh-rsa AAAAB3BIwAAAIEAuQPoxUqIp8gWD/NzaC1yc2EAAAAKRmCjlEMT8tHA
L3RIZST7qbRvBnwSp+fCXK5rLcXBtzMxd6Oa6tQcbbDB+6rwPZOaUwsxg7HXzA1EzRGSPaO8k
q1RFMoEaYeGzTfMWdDeE52onVmkyGo7ZVake8VY3L5gE0SldNx08kM7MOnl48RQuoWlfPHk=
8tHAL3RIZST7qbRvBnwSp+fCXKcbbDB+6rwPZOaU5rLcXB
10.0.4.100 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAwHHmCygJYcqMf4iozEo9xx9oWg
xpvh6WN7Wwd2e5eB7Mx+Fi5I9DnapVBi7OxHd/QafFqR6PqhdOIhLpm4eQDcN5BKvh2PTVeWq
v2xBXO0Eu1yE+pM3TO3cXgD0inb+3HjpU2SQu9Br3rvOuhHDmkSI1hTII5DLxlCC/h+RBwQc=
[PBG4-667:~/.ssh] shinnai%
|
- これまでに接続したことのあるsshdサーバの情報が,「IPアドレスと暗号化プロトコル,署名」の順番に保存されている.
- つまり,再セットアップしたことで,この公開鍵が一致しなくなっている.
5.不要な公開キーを削除
- 前の手順で確認した公開キーを,viなどで編集して削除する.
- 削除した結果が次の通り.
[PBG4-667:~/.ssh] shinnai% cat known_hosts
xserve.tokyo.apple.co.jp,123.123.112.233 ssh-dss AAAAB3NzaC1kc3MAAACBAMi
VmLM3Qmwa0wXVcrQzzSPtfszaj4GWd8FzifJoAAMqhfcykt2VtUSY9RwyJ3TsPz31NdgWegYk
/WnevuBy/o3rylwzYrNoNoaI5cWZ0IQdRXTHgHfT0b1dNliX4hXUby/ZmS4OdCEEU/om8qNsl
/bt/1tCy1obq9/FuJQ2DImXYE6zLRhdY9qPVBURAAAAFQDhZ0R0ksX27wAAAIEAlsEd9jW6eE
djxLIHndu3T+CseUnyyB+J0yQL2RvzzzNNVPPgTQv26AzaJqq6neLBcbgWL4dMpZBrKlPsxfA
pETHEp0t2P8VtjHIvYWZxLQQ5KHq3cK3268wFy3ycIfWFy2NDZWVy05QGigo+AhDdSnjxr+hr
KupImqjgNm6FiKBCYxfCc6X9KLCBtwf3nPaK7ShAl5Xbpd1L64c173018Ufcmz0/OQeVPB6BG
aYMK1ueMy89KCOBu+BP6CndTNEALdw35KzCgEQ6ai0wQUAAACAeWNLEX0XLlaVhx0CqbAfN/i
nnu3stm3nBTVbwRxmBOIMu+fuZ//TTM6e15o4Fb8THOVc=
192.168.111.12 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAu8aeOko+i2bmvm7R+SWtph
ag9/6qhuMbAGgNz4EY0lb//7j9fGk+gi3rtu1X7QzbqHwH58cEuQZugHTn1YxRUuEdeB8zmwY
WlUH0Qha3RdHOc0NVG/1ROublvwbQ4g1gR2oHVae5mjNV5EYT2p8wauo7J5B6EHlHZu8alBQE
gD0=
10.0.2.32 ssh-rsa AAAAB3NzaC1yRmCjlEMc2EAAAABIwAAAIEAuQPoxUqIp8gWD/KT8tHA
L3RIZST7qbRvBnwSp+fCXKcbbDB+6rwPZOaU5rLcXBtzMxd6Oa6tQwsxg7HXzA1EzRGSPaO8k
q1RFMoEaYeGzTfMx0852onVmkyGo7ZVake8VY3L5gE0kM7MOnl48WdDeESldNRQuoWlfPHk=
172.68.129.220 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEA8BuVu37x4F62Auu56nSQGl
wutmJBs7XRI5enogyV7gLCZDo/opLubg2xUxNsShntJHeg316swOds0vix6KyfVG3nfGbk5B0
unlTm+gHmfwyW40bvkuC+Fw120i+VmCkhmEaDucXuvPWTOGIUm82WaMebsNgM5zwQvPYaS5Sa
ls0=
10.0.4.90 ssh-rsa AEAAAABIwAAAINzaC1yc2qbSovmd2EA5PkAAEPQv2iBAB3h9ITRjXPI
xcXRyYS2QliuGcLmjgAQf1G0LClTqU3YwXaOm/2dicl9HVSjIaxUdI72rLuETzZOK2U/Vz6h3
t5pV0VQx/spXrHWmK8NOz3skyB4fX/Cj4OmeEhO1OU1mm76qMEWLXaHkDmRj8jGG6MNgS9s=
10.0.4.20 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAuQPoxUqIp8gWD/KRmCjlEMT8tHA
L3RIZST7qbRvBZcXBtzRGSnwSp+fCXKcMxd6Oa6tQwOaU5rLsxg7HXzA1EzbbDB+6rwPPaO8k
q1RFMoEaYeGDeE52onVmkyGo7ZVake8VY3L5gE0SldNzTfMx08kM7MOnl48WdRQuoWlfPHk=
8tHAL3RDB+6rwPZOaUIZST7qbRvBnwSp+fCXKcbb5rLcXB
[PBG4-667:~/.ssh] shinnai%
|
6.再度接続してみる
[PBG4-667:~/.ssh] shinnai% ssh -l xserve 10.0.4.100
The authenticity of host '10.0.4.100 (10.0.4.100)' can't be established.
RSA key fingerprint is 8d:ad:a0:90:03:82:e8:9e:9b:4d:17:d8:39:e6:6c:11.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '10.0.4.100' (RSA) to the list of known hosts.
xserve@10.0.4.100's password:■■■■■
[xserve@apple xserve]$
|
- これを見ると判るとおり,新しくRSAのFingerprint(指紋:署名)を取り込んでknown hostsに登録したと表示されている.
- 一度接続を切断して,再度接続してみる.
[xserve@apple xserve]$ exit
logout
Connection to 10.0.4.100 closed.
[PBG4-667:~/.ssh] shinnai% ssh -l xserve 10.0.4.100
xserve@10.0.4.100's password:■■■■■
Last login: Wed Jan 15 15:55:53 2003 from 10.0.4.20
[xserve@apple xserve]$
|
- 2回目以降は,署名の取り込みはない.
- 必要であれば,known_hostsファイルを再度確認してみる.
ご参考
