OpenSSH の'StrictHostKeyChecking'オプションの振る舞いを確認してみた。
環境
- ローカルホスト(SSHクライアント)
- MacOS 10.6.8, OpenSSH_5.2p1, OpenSSL 0.9.8r 8 Feb 2011
- リモートホスト(SSHサーバ)
- CentOS-6.0 OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010
ちなみに OpenSSH のバージョンを調べるオプションは '-V' だった。
やったこと
OpenSSHの'StrictHostKeyChecking'オプションの値を yes, ask, no と変えながら、リモートホスト(ここでは 192.168.111.103)にユーザー user01 でログインを試みる。ただし、毎回以下のコマンドを実行してローカルホストのknown_hostsファイルがリモートホストの情報を含まない状態にしておく。
$ ssh-keygen -R 192.168.111.103
結果
- yes の場合
-
$ ssh -o StrictHostKeyChecking=yes -l user01 192.168.111.103 No RSA host key is known for 192.168.111.103 and you have requested strict checking. Host key verification failed. $
- 認証まで進まずに、sshコマンドが終了してしまう。
- ask の場合
-
ssh -o StrictHostKeyChecking=ask -l user01 192.168.111.103 The authenticity of host '192.168.111.103 (192.168.111.103)' can't be established. RSA key fingerprint is 26:f9:16:77:cf:92:95:58:95:d1:55:ce:d2:9e:34:84. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '192.168.111.103' (RSA) to the list of known hosts. user01@192.168.111.103's password:
- 手続きを進めるかどうか確認待ちになる。そこで yes を入力すると、パスワード入力待ちになる。
- no の場合
-
$ ssh -o StrictHostKeyChecking=no -l user01 192.168.111.103 Warning: Permanently added '192.168.111.103' (RSA) to the list of known hosts. user01@192.168.111.103's password:
- 確認無しに、パスワード入力待ちになる。
0 件のコメント:
コメントを投稿