2012年8月20日月曜日

EIP付け替えたときのSSH接続のなりすまし警告対策

スズキです。

CDPネタです。今回の対象は「Floating IPパターン」です。


このパターンの「注意点」に
該当EIPにSSH接続している場合は同じIPでサーバが入れ替わることになるので、なりすましの可能性が警告されログインできないことがあります。
といった記載があります。

具体的にはEIPを別のEC2に付け替えるとSSH接続時に下記のように
サーバが今までのものと違うため警告が表示されログインできな状態になります。
$ ssh -i suz-lab_ap-northeast-1.pem -l root xxx.xxx.xxx.xxx
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx.
Please contact your system administrator.
Add correct host key in /Users/suzuki/.ssh/known_hosts to get rid of this message.
Offending key in /Users/suzuki/.ssh/known_hosts:1
RSA host key for xxx.xxx.xxx.xxx has changed and you have requested strict checking.
Host key verification failed.
この警告を出ないようにするには、".ssh/"ディレクトリにある"known_hosts"ファイルの
該当項目を削除する必要があるのですが、下記のように"ssh-keygen"で可能です。
$ ssh-keygen -R xxx.xxx.xxx.xxx
/Users/suzuki/.ssh/known_hosts updated.
Original contents retained as /Users/suzuki/.ssh/known_hosts.old
再度SSHでログインを試みると、今度は下記のように無事ログインできます。
$ ssh -i suz-lab_ap-northeast-1.pem -l root xxx.xxx.xxx.xxx
The authenticity of host 'xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx)' can't be established.
RSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'xxx.xxx.xxx.xxx' (RSA) to the list of known hosts.
#

CDPネタも久しぶりだ...
--------
http://www.suz-lab.com

0 コメント: