SSH tới 1 máy chủ từ 2 máy chủ khác nhau có cùng tên máy chủ

Có 2 máy chủ dành cho sản xuất và DR. Cả hai máy chủ đều là RHEL 7 và cùng thông số kỹ thuật.

Cả hai đều có cùng tên máy chủ và địa chỉ IP khác nhau. Chúng tôi cần kết nối với cùng một máy chủ bên ngoài qua SSH mà không cần mật khẩu.

Khi chúng tôi cố gắng kết nối từ máy chủ DR, nó hiển thị cảnh báo với thông báo như bên dưới.

Quyền bị từ chối (khóa công khai, gssapi-keyex, gssapi-with-mic, tương tác bàn phím).
fromserver:user1$ ssh user2@dest-server
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@
@ CẢNH BÁO: CÓ THỂ PHÁT HIỆN GIẢI ĐÁP DNS! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@
Khóa máy chủ ECDSA cho máy chủ đích đã thay đổi,
và khóa cho địa chỉ IP tương ứng 10.126.**.**
là không thay đổi. Điều này có thể có nghĩa là
DNS SPOOFING đang xảy ra hoặc địa chỉ IP của máy chủ lưu trữ
và khóa máy chủ của nó đã thay đổi cùng một lúc.
Khóa vi phạm cho IP trong /home/user1/.ssh/known_hosts:111
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@
@ CẢNH BÁO: NHẬN DẠNG MÁY CHỦ TỪ XA ĐÃ THAY ĐỔI! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@
CÓ THỂ LÀ MỘT NGƯỜI ĐANG LÀM ĐIỀU GÌ TUYỆT VỜI!
Ai đó có thể đang nghe lén bạn ngay bây giờ (tấn công trung gian)!
Cũng có thể là một khóa máy chủ vừa được thay đổi.
Dấu vân tay cho khóa ECDSA được gửi bởi máy chủ từ xa là
SHA256: ************************************************.
Xin vui lòng liên hệ với quản trị hệ thống của bạn.
Thêm khóa máy chủ chính xác vào trong /home/user1/.ssh/known_hosts để loại bỏ thông báo này.
Khóa ED25519 vi phạm trong /home/user1/.ssh/known_hosts:111
Xác thực mật khẩu bị vô hiệu hóa để tránh các cuộc tấn công trung gian.
Xác thực tương tác bàn phím bị vô hiệu hóa để tránh các cuộc tấn công trung gian.
*************************************************** ************************

Câu hỏi của tôi là làm cách nào để tránh thông báo này và bật đăng nhập ssh mà không cần mật khẩu. Có thể tránh thông báo này?

Có các tên máy chủ khác nhau trong DNS cho các chức năng quản trị bao gồm ssh. Tạo ví dụ của riêng tôi, thingprod1.example.net và thingprod2.example.net, với thingprod.example.net như một địa chỉ dịch vụ chỉ phía hoạt động. Quản trị viên hệ thống sử dụng tên máy chủ, ứng dụng người dùng sử dụng địa chỉ dịch vụ.

cảnh báo giả mạo DNS của ssh và thay đổi khóa máy chủ là các tính năng bảo mật để phát hiện việc chặn lưu lượng ssh. Họ dựa vào khóa máy chủ giữ nguyên cho tên và IP.

Trong khi những người khác khuyên bạn KHÔNG nên sử dụng cùng tên máy chủ (và tôi đồng ý với họ), họ không đề xuất giải pháp.

Giải pháp thực tế là vô hiệu hóa StrictHostKeyChecking.

Để làm điều này, bạn có thể ssh trực tiếp vào máy chủ bằng:

ssh -o StrictHostKeyChecking=no <tên người dùng>@<tên máy chủ>

Nếu bạn sử dụng tệp cấu hình ssh thì nó sẽ trông như thế này:

Máy chủ <tên>
Người dùng <tên người dùng>
Tên máy chủ <tên máy chủ>
 StrictHostKeyKiểm tra không
 UserKnownHostsFile=/dev/null

UserKnownHostsFile=/dev/null sẽ đảm bảo rằng khóa của bạn sẽ không được lưu.