クラウドにVPSがあります(Ubuntu Server 16.04)。
- SSHを介してサーバーに接続します(問題なし)。
- ソフトウェアを更新します。
apt upgrade+apt update - サーバーを再起動しました
shutdown -r now。 SSH接続が閉じました。 - 20秒後に再接続しようとすると、SSHは次のように言います。
ECDSA host key for <server> has changed and you have requested strict checking.
このようにサーバーを更新したのは初めてではありませんが、鍵が変わる様子は初めて見ました。これは普通ですか?
アップデートには、新しいバージョンのlibsslとopensslが含まれています。これが理由なのでしょうか?
答え1
find /etc -name '*ssh*' -ls表示される唯一の最新のファイルはさまざまなSSHキーです(サーバーの再起動が完了するとすべて変更されます)。
/var/log/syslog を見ると、次の行が見つかりました。
Sep 29 20:56:20 <server> cloud-init[1245]: Your identification has been saved in /etc/ssh/ssh_host_rsa_key.
Sep 29 20:56:20 <server> cloud-init[1245]: Your public key has been saved in /etc/ssh/ssh_host_rsa_key.pub.
Sep 29 20:56:20 <server> cloud-init[1245]: Your identification has been saved in /etc/ssh/ssh_host_dsa_key.
Sep 29 20:56:20 <server> cloud-init[1245]: Your public key has been saved in /etc/ssh/ssh_host_dsa_key.pub.
Sep 29 20:56:20 <server> cloud-init[1245]: Your identification has been saved in /etc/ssh/ssh_host_ecdsa_key.
Sep 29 20:56:20 <server> cloud-init[1245]: Your public key has been saved in /etc/ssh/ssh_host_ecdsa_key.pub.
Sep 29 20:56:20 <server> cloud-init[1245]: Your identification has been saved in /etc/ssh/ssh_host_ed25519_key.
Sep 29 20:56:20 <server> cloud-init[1245]: Your public key has been saved in /etc/ssh/ssh_host_ed25519_key.pub.
他のメッセージの内容で判断すると、このcloud-init問題は私のホスティングサービスで発生しているように見えるため、アップグレードではなく再起動が原因である可能性が高くなります。サポートチームとチャットします。
答え2
SSH 構成またはホスト鍵を直接変更していない場合は、次のいずれかになります。
- 顧客がキーを変更しました(ソフトウェアを再インストールするか手動で)。
- サーバーがキーを変更しました(ソフトウェアの再インストールまたは手動)。
それでは、各オペレーティングシステムごとのキー修正日を見て、誰が変更したのかを確認してください
これが発生しないようにするには、システムのアップグレード中に既存のSSHホストキーを維持し、アップグレード後に古いキーを使用してください。
答え3
少なくともプロトコルバージョン1を使用するときは、これまで見たことがないことは少し奇妙です。
プロトコル1の順方向セキュリティは、サーバーの起動時に生成される追加のサーバーキー(通常は768ビット)を介して提供されます。
(から引用man sshd)