派 · 折腾笔记 - 解决ssh连接时提示Host key verification failed的问题-工具盒子

由于测试环境包括各种设备使用相同IP做服务端来供ssh连接，每次更换设备都会提示Host key verification failed.问题，所以这里整理一下原因及处理方式。

问题表现 {#问题表现}

ssh连接设备时提示如下信息并且断开连接。

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ED25519 key sent by the remote host is SHA256:zxhjA8ABj+yztM58YPTJYdERqJBolsWTMdXWXimSR3M. Please contact your system administrator. Add correct host key in /root/.ssh/known_hosts to get rid of this message. Offending ECDSA key in /root/.ssh/known_hosts:5 remove with: ssh-keygen -f "/root/.ssh/known_hosts" -R "[192.168.2.170]:8888" Host key for [192.168.2.170]:8888 has changed and you have requested strict checking. Host key verification failed. </code> </pre> 问题原因 {#问题原因} 每次ssh连接远程操作后，都会把访问过计算机的公钥(public key)都记录在主机~/.ssh/known_hosts。当下次访问相同计算机时，会核对公钥。如果公钥不同，会发出警告，避免你受到DNS Hijack之类的攻击。其实这里说的相同计算机可以理解为相同IP，因为在我实际环境中服务端是使用相同IP的不同设备，公钥会频繁切换，所以会出现该情况。 SSH对主机的public_key的检查等级是根据StrictHostKeyChecking变量来配置的。默认情况下，StrictHostKeyChecking=ask。简单所下它的三种配置值： StrictHostKeyChecking=no 最不安全的级别，当然也没有那么多烦人的提示了，相对安全的内网测试时建议使用。如果连接server的key在本地不存在，那么就自动添加到文件中（默认是known_hosts），并且给出一个警告。 StrictHostKeyChecking=ask 默认的级别，就是出现刚才的提示了。如果连接和key不匹配，给出提示，并拒绝登录。 StrictHostKeyChecking=yes 最安全的级别，如果连接与key不匹配，就拒绝连接，不会提示详细信息。解决办法 {#解决办法} 根据上面分析的原因，我们已经明确了默认StrictHostKeyChecking=ask导致连接时key不匹配所以给出提示，并拒绝登录，既然我所在的环境为局域网测试使用，并且主要用于自动化脚本，所以这一块是可以修改为no的。在.ssh/config（或者/etc/ssh/ssh_config）中配置： StrictHostKeyChecking no UserKnownHostsFile /dev/null &lt;/code&gt; &lt;/pre&gt; 这里为了简便，将knownhostfile设为/dev/null，就不保存在known_hosts中了再进行连接时会提示个如下信息: Warning: Permanently added '[192.168.2.170]:8888' (ECDSA) to the list of known hosts. &lt;/code&gt; &lt;/pre&gt; 反正是局域网测试，并且是为了解决自动化环境的问题，这种提示无所谓了。以下内容是AI生成的解决这种提示的方案，未验证解决方法： * 如果你不希望看到这条信息，可以手动编辑~/.ssh/known_hosts文件，将新添加的公钥和主机信息删除。 * 如果你是在脚本中看到这条信息，并希望脚本默认接受新的公钥而不提示，可以在SSH命令中使用 -o StrictHostKeyChecking=no 选项来禁用这个检查。 * 如果你是在自动化工具（如Ansible、Puppet等）中看到这条信息，通常这些工具有配置参数来控制这一行为，可以在配置文件中设置相应的选项。