Я могу использовать проверку ключа хоста ssh с циклическим DNS?
Я вхожу в сервер на основе циклического имени хоста DNS - "login.example.com" мог перейти к любому из многих серверов. Идеально, я хотел бы смочь обновить свой known_hosts файл, таким образом, что достижение любой из машин возможно без предупреждения / ошибка, хотя я предполагаю, что нейтрализация была бы то, если бы был некоторый способ иметь все серверы, существующие тот же цифровой отпечаток / ключ хоста. Я видел, что сообщения как это, но "выбирают единственный статический IP для входа в систему в", не действительно опция. Я хотел бы действительное решение, если существует тот.
2 ответа
Если Вам не нужен безопасный способ дифференцироваться между машинами, которые находятся в циклическом кластере, просто копируют один ключ хоста к каждой из машин в кластере.
Это означает, что Ваша проверка ключа хоста SSH говорит Вам наверняка, что это находится в кластере, но не говорит Вам наверняка, какая конкретная машина в кластере это. Вы могли полагаться на статический IP-адрес (или вывод hostname) как незащищенный способ дифференцироваться между машинами в кластере.
Нет никакого действительно хорошего способа сделать это, так как ssh сделан удостовериться, что нет никакого риска спуфинга DNS. Это сказало, что можно использовать это обходное решение:
ssh $(nslookup login.example.com | grep -v '#' | grep -m1 '^Address:' | cut -d \ -f 2)
В основном этот будет поиск IP и затем использовать IP-адрес вместо имени хоста, это должно устранить Вас проблемы, если серверы не изменяют IP-адреса также.