Good to Know Database

Veralteten SSH-Schlüssel aus der known_hosts entfernen


Beim ersten Verbindungsaufbau zu einem SSH-Daemon wird Ihnen der Fingerprint des RSA-Keys des entfernten Systems angezeigt und sobald Sie die Korrektheit bestätigt haben in der ~/.ssh/known_hosts hinterlegt. Wenn Sie sich zukünftig mit diesem SSH-Daemon verbinden, wird dessen Fingerprint mit dem in der ~/.ssh/known_hosts gespeicherten Fingerprint verglichen. Stimmen beide überein, wird die SSH-Verbindung aufgebaut. Sollten die Fingerprints nicht übereinstimmen, erhalten Sie die folgende Fehlermeldung angezeigt.

[georg@centos5 ~]$ ssh root@centos5.home.lan
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
7b:0b:72:e8:9d:0f:d3:62:45:91:56:04:43:fb:36:c2.
Please contact your system administrator.
Add correct host key in /home/georg/.ssh/known_hosts to get rid of this message.
Offending key in /home/georg/.ssh/known_hosts:1
RSA host key for centos5.home.lan has changed and you have requested strict checking.
Host key verification failed.

Diese Meldung kann verschiedene Ursachen haben. Zum Einen kann es bedeuten, dass Sie sich gerade mit einem SSH-Daemon verbinden wollten, welcher nicht der ist, für welchen er sich ausgibt. Andererseits wird diese Meldung auch angezeigt, wenn sich der RSA-Key des entfernten SSH-Daemons geändert hat. Dies ist der Fall, wenn das System oder der SSH-Daemon neu installiert wurde. Auf jeden Fall sollten Sie überprüfen, ob sich der RSA-Key des entfernten SSH-Daemons geändert hat oder ob es sich um ein feindliches System handelt.

Sollte sich der RSA-Key des entfernten SSH-Daemons geändert haben, müssen Sie den alten Fingerprint aus der ~/.ssh/known_hosts entfernen, damit der neue Fingerprint gespeichert werden kann. Wie Sie der oben gezeigten Ausgabe entnehmen können, ist hier der erste Eintrag in der ~/.ssh/known_hosts für die Fehlermeldung verantwortlich.

Offending key in /home/georg/.ssh/known_hosts:1

Mit dem folgenden Befehl wird die erste Zeile, welche den veralteten Fingerprint enthält, aus der ~/.ssh/known_hosts entfernt.

[georg@centos5 ~]$ sed -i '1d' ~/.ssh/known_hosts

Wenn Sie erneut versuchen eine Verbindung zum entfernten SSH-Daemon aufzubauen, wird Ihnen der neue Fingerprint des RSA-Keys zur Überprüfung angezeigt und anschließend wieder in die ~/.ssh/known_hosts eingetragen.

[georg@centos5 ~]$ ssh root@centos5.home.lan
The authenticity of host 'centos5.home.lan (192.168.10.1)' can't be established.
RSA key fingerprint is f5:4e:20:42:13:c9:78:5b:42:1e:10:74:a2:ad:3b:68.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'centos5.home.lan,192.168.10.1' (RSA) to the list of known hosts.
root@centos5.home.lan's password:


Dieser Eintrag wurde am 14.05.2010 erstellt.

Direkter Link zu dieser Seite: http://www.gtkdb.de/index_7_969.html

[ Zur Startseite ]   [ Zur Kategorie ]


Valid XHTML 1.0 Transitional Valid CSS Valid Atom 1.0

© 2004-2018 by Georg Kainzbauer