我试图调用负载平衡安装gitlab环境…问题我有如果用户ssh到LB使用腻子或混帐bash他们得到下面的错误。
服务器的主机密钥不匹配在registry中caching的PuTTY
我尝试添加follwingconfiguration,但没有帮助,腻子网站明确表示,腻子绝不会让你绕过,没有人工干预。
StrictHostKeyChecking no UserKnownHostsFile /dev/null
阅读相当多的论坛后,唯一的select是使所有的服务器上的ssh密钥相同。
这会造成其他问题吗?
在我看来的问题是,如果一台机器被攻破,攻击者可以进入其他服务器,因为这是在内联网将是一个问题?
“阅读了不less论坛之后,唯一的select就是让所有服务器上的ssh密钥都一样。”
我认为还有另外一个select:你可以使用ssh证书。
SSH实际上具有使用证书颁发机构对服务器和客户端进行身份validation的function。 这两种方式。 使用这个系统,你可以authentication一个客户端的主机,避免混淆消息无法validation主机的真实性。 您还可以validation客户端到主机,允许您在一个地方注册一个新的SSH密钥,并允许您的组织访问。
共享主机密钥不应该是一个问题。
SSH通常使用Diffie-Hellman密钥交换(甚至可以通过在sshd_config中设置KexAlgorithms来强制执行),这意味着即使攻击者拥有私有主机密钥,也不能被动地解密到具有相同主机密钥的其他服务器的连接。 在这种情况下,主机密钥确实只用于服务器的真实性检查。
而且,即使拥有你的一台服务器的攻击者能够闯入你的其他服务器(无论如何他也可能是这样,就像他进入第一台服务器一样),他的收益是什么? 作为负载平衡器,服务器可能都具有相同的权限和访问内部网,所以控制其中一个对攻击者来说已经足够了,我不会看到控制它们的好处。