Hallo liebe Kollegen,
wie kann ich bei Serverwechsel das HostKey-Checking abstellen/vermeiden? -o StrictHostKeyChecking=no ? Was ist das einfachste / professionellste?
Ich nutze einen Server im Web als ssh-revers-tunnel Einwahlserver für debian-server (i.d.R. raspis) bei Kunden (bisher 2, nix tausend ). Wechsel ich den Server im Web, dann kann der Revers-Tunnel nicht mehr automatisch aufgebaut werden, auch wenn der domain name, user und ssh-key identisch sind bzw rüber kopiert worden sind, vermutlich spielt da noch die MAC-Adresse des neues Servers rein. Bevor ich mir ein Verfahren zusammen-bastle, frage ich mal hier nach, vielleicht gibts ja schon eine elegante Lösung.
Weitere Infos dazu: der ssh-revers-tunnel vom raspi beim Kunden wird teilweise automatisch alle 5 Min aufgebaut, teilweise started der Kunde den tunnel explizit über eine Web-Oberfläche von seinen Win-PCs. Er sieht also kein Terminal, in dem er "yes" bei dem HostKeyChecking eingeben könnte - und alles wäre gemacht. Ich könnte bei Kunden mit manuellem Start des revers-tunnels einen zweiten "Notfall-Button" einrichten, der im Skript-Aufruf ssh ..... -o StrictHostKeyChecking=no macht, dann hole ich bei ihm auf dem raspi das "yes" für neue Identität akzeptiert manuell nach. Bei automatischem tunnel alle 5 min würde ich vor einem Serverwechsel den ssh-Aufruf gegen einen solchen mit -o StrictHostKeyChecking=no austauschen, bis der Server-Wechsel vollzogen ist. Kann ich das StrictHostKeyChecking=no nicht immer einbauen? Ich erkenne keine Gefahr für die Sicherheit. Der Zugang vom Web-Server zu den Kunden durch den revers-tunnel ist sowieso durch eine sicheres Kennwort geschützt. Ein Hacker hat nicht viel davon, wenn er die Domain auf einen anderen Server umleitet. Was meinst Du? - Natürlich, eine Sicherheit ginge dann verloren.
Gruß
Eckard
@gerade getestet: mit -o StrictHostKeyChecking=no gehts auf jeden Fall. Ich werde das einfach so machen wie oben beschrieben, in den beiden Fällen, wenn hier nicht jemand mit einer anderen genialen Idee aufwartet