Soru SSH sunucu anahtarlarını yeni sunucuya taşıma işlemi


Yakında yeni bir veri merkezinde bir sunucuyu yeni bir donanıma taşıyacak ve elbette bu yeni bir IP anlamına geliyor.

SSH anahtarlarını orijinal sunucudan yenisine taşımak için doğru süreç nedir (hiç değilse), böylece istemcilere herhangi bir uyarı gelmez veya bir şey kabul etmek zorunda kalmazsınız?

IP değiştiğinde bile mümkün mü?

Hangi dosyaları taşımak zorundayım? Tüm ssh_host_ * dosyalarını kabul ediyorum.

RHEL 5'ten Ubuntu'ya geçiş 10.04.


5
2018-03-23 15:48


Menşei




Cevaplar:


Anahtarlarınızı mevcut sunucunuzdan yeni sunucuya kadar çok güçlük çekmeden taşıyabilirsiniz. Sadece aynı yere gittiklerinden ve aynı izinlere sahip olduklarından emin olmalısınız.

İdeal olarak, yeni anahtarlar oluşturma ve güvenlik açısından müşteri anahtarlarını güncelleme fırsatı bulmalısınız.


5
2018-03-23 15:58



Kullanıcılarınızın, yeni ana makineye, bilinen ana makine adında bir ana bilgisayarına bağlandıklarında, kimlik doğrulaması yaptıkları anahtarla eşleşen bir uyarı alabileceğini eklemeyi unuttum. Bu, girdiyi bilinen ana dosyalarında kaldırmak zorunda oldukları anlamına gelir. Bu konuda bir şey yapamazsın. - Mike
Yani kullanıcılar yine de bir uyarı alabilirlerse, anahtarların taşınmasında bir nokta var mı? - Daniel Huckstep
kullanıcılar bir uyarı alacak. Orta saldırı mesajında ​​bir adam olacak. Korkunç görünüyor ama istemciden know_hosts silerseniz daha az korkutucu bir mesaj alacaklar. Bir çeşit komut istemiyorum. - egorgry


1) sshd config dosyalarınız / etc / ssh / altında saklanıyorsa, bunların hepsini kopyalamanız gerekir. Orada sshd config yanı sıra ana anahtar-anahtar bulacaksınız.

İzinleri de doğru şekilde kopyaladığınızdan emin olun! Sshd, uygun şekilde korunmayan anahtarları görmezden gelir. (İyi de, korunmasız bir özel anahtar olarak çok kötü bir fikirdir.)

2) Zaten güvendiğiniz ve artık giriş yapmak için şifre gerektirmeyen uzak ana bilgisayarların ortak anahtarlarını eklediyseniz, otomatik girişin tekrar çalışması için bu bilgiyi kopyalamanız gerekir. Bu bilgi normal olarak /home/-account-/.ssh/ (authorized_keys altında) saklanır. Yine, burada izinleri unutma.


IP adresi değişikliği ile ilgili olarak, uzak istemcilerin IP'de gerçekten bir değişiklik olduğunu varsayarak (bazı ters proxy veya herhangi bir şeyin arkasında değilsiniz), o zaman hayır, kullanıcının sertifikayı bir kez daha kabul etmesi gerekir. (uzak istemcinin bilinen_hosts dosyasında, sunucunun IP ve sunucunun sertifikası birlikte depolanmış olduğundan) Daha da kötüsü, bu IP adresini başka bir ssh sunucusuna atarsanız, ortadaki adam saldırısından bile haberdar olabilirler.

Bu yüzden yeni sunucuda aynı (harici) IP adresini kullanmak mantıklı.


1
2018-03-26 20:08





İşletim sisteminizden bahsetmedin. Bir RHEL ana bilgisayarının / etc / ssh dosyasında saklanan sunucu anahtarlarına sahip olduğundan emin olabilirsiniz. Sadece dizini tamamen kopyalayın. Ardından sshd'ye geri dönmek / kutuyu yeniden başlatmanız gerekir.

Aynı DNS adıyla bağlandığınız sürece, uyarı almamanız gerektiğine inanıyorum. Yeni IP ile bile.


--Cristopher Karel


0
2018-03-23 16:13



İşletim Sistemlerinin ne olduğu hakkında not eklendi - Daniel Huckstep
Sonra evet, / etc / ssh istediğiniz dizindir. Sadece ssh_host * anahtarlarını öneriyorum. Yapı dosyalarını taşıma. Ve güvende olmak için, şeylerin hedef tarafını yedeklemek isteyeceksiniz. - Christopher Karel