https://forum.community.tw/t/topic/190 论坛版 TW Community 是我自架的论坛，可以当作一般论坛使用 也可以当作个人部落格的留言系统， 能用 markdown 并且也能自动将程式码上色， 欢迎大家来参观并玩玩看， 如果有个人部落格（电脑相关的）需要留言系统，也可以来信联络 以下正题 最近在登入远端运算资源时，SSH 跳出警告 WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! 会跳出这个警告是因为，从伺服器拿到的公钥指纹对不上，目前系统所记录的，所以 SSH 怀疑是不是有中间人攻击 ，并禁止此次登入。注意：不一定每次出现这个讯息就是 有问题，还要配合伺服器的讯息才能判断，例如更新或重新设定 SSH 伺服器设定，可能 就会让该指纹改变，又或者晚点介绍这次遇到的状况。但幸好该密码有配合 TOTP ，遇到 这状况都没使用该 TOTP 来登入，所以帐号应该也还是安全的，所以才可以慢慢的去查错 ，并通知伺服器管理员。 问题 重复试着登入，有时候可以登入，但有时候会跳出不同的公钥指纹，另外将 wifi 换成手 机网路，但情况还是一样，加上伺服器公布的指纹只有 RSA/ECDSA 但我所遇到的问题却 是 ED25519，到这边开始怀疑并不是安全性的问题。到这里就写信跟伺服器管理员询问， 并把一些资料我所能找到的分享出来 不同的公钥指纹？ 遇到这个问题时，有想到为了负载的关系，登入伺服器有五台，所以我就直接登入特定的 伺服器，而非让他去自动分配，并记录下来他所回报的公钥指纹。而此时有发现其中一台 我是可以直接登入成功的，代表其中一台跟我之前登入的是有吻合的。但这里还不能完全 确定，因为我之前在第一次登入时并没有去确认指纹是否吻合（错误示范），但所记录 的 RSA/ECDSA 是有符合的 确认所记录的公钥指纹 ``` # 列出所有的指纹 list all finger print ssh-keygen -l -f ~/.ssh/known_hosts # 列出特定的伺服器 list finger print of the specific server ssh-keygen -l -f ~/.ssh/known_hosts -F <伺服器> ``` 利用这个去确认之前纪录是否吻合伺服器所公开的资料，那 RSA/ECDSA 部分是吻合的， 但多纪录了 ED25519 。这边有去确认另一台电脑的纪录，但另一台只有纪录 RSA 的部分 。 只删掉纪录中的 ED25519 这其实是伺服器管理员让我试试看的，那删掉後其实第一次都可以登入，也没有跳出任何 需要检查公钥指纹的提示，或第一次登入需要确认的讯息也没有，代表 RSA/ECDSA 检查 有通过就可以登入了。但在登入之後会发现 known_hosts 会再次被加入 ED25519（登入 後才会被加入），所以只要下次登入到不同台，警告又会跳出来了。 利用 `ssh -vvv <server>` (详见论坛版，但吻合上面所述)去检查发生了什麽事。 当有 ED25519 时，会出现 order_hostkeyalgs: have matching best-preference key type ssh-ed25519 ED25519 不同，SSH 就会阻止了，不会看 RSA/ECDSA 暂时解法 可以看到是 ED25519 这一个会被先确认，所以如果把 ED25519 取消，或者改一下顺序会 怎麽样呢？ - 取消 ED25519： ssh -o HostKeyAlgorithms="-*ed25519*" <server> ，取消掉就可以像之前一样的登 入了 - 换一下顺序： ssh -o HostKeyAlgorithms="ssh-rsa,ecdsa-sha2-nistp256,ssh-ed25519" <server> 这样出乎我的意料，这样也过了，但用 -vvv 去看发现，他前面检查完 RSA 就通过了 ，登入後如果是不同台就会将所纪录的 ED25519 换掉 /Users/yhmtsai/.ssh/known_hosts:21: Removed ED25519 key for host <server> Adding new key for <server> to /Users/yhmtsai/.ssh/known_hosts: ssh-ed25519 SSH 版本？ 目前应该是觉得 ssh 的版本导致他预设的顺序不一样，会出现警告的那台是 OpenSSH_8.6p1, LibreSSL 2.8.3 ，而另一台则是 OpenSSH_7.6p1 Ubuntu-4ubuntu0.3, OpenSSL 1.0.2n ，有试过 ssh -Q key 但看起来一样，而 ssh -Q sig 只有在 8.6 有， 如果有人知道怎麽查询预设的顺序或相关的东西的话，再麻烦留言告知了，谢谢 结语 有将前面所发现的东西，也就是不同的登入伺服器虽然有共通的 RSA/ECDSA 但 ED25519 却是独立的，通知伺服器管理员，并提供 ssh -o HostKeyAlgorithms="ed25519" <server> ，就可以强迫登入使用 ED25519 ，他们目前有确认我前面提供的 ED25519 指 纹的确是每台所拥有的，所以登入是正常的，另外他们会去看能不能也把 ED25519 也一 样共用，至少会把 ED25519 之後也补上伺服器的资料上。 一开始遇到想说，明明才刚重灌两三天，怎麽就有安全性上的问题，花了一段时间去确认 可能是哪个环节出了问题，幸好最後不是有资安问题。另外有知道任何除了上述所讲的解 法，或者一些相关资料，欢迎留言分享。 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 220.143.89.220 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Linux/M.1636388432.A.225.html