我有一个专用IP地址A的服务器和一个dynamicIP地址B (通过no-ip.org路由)的服务器。 A通过sshpass将备份上载到B:
export SSHPASS=*** sshpass -e sftp **@** << ! [..] put [..] bye !
每次现在(A)下面发生:
警告:将IP地址[[]]的ECDSA主机密钥永久添加到已知主机列表中。
我有一些感觉,这可能不是一个安全的方法来传输备份数据(tar文件)。 是否有人可以拦截备份?
另外,我不应该再次从已知主机列表中删除IP吗? 备份每天运行。 听起来像是一个长长的已知主机,只是dynamic的!
此警告消息不表示安全风险,因为它已经validation服务器发送的主机密钥与您连接的主机名称的已知主机密钥匹配。 (我实际上已经说过, Warning应该被排除在这个特定的信息之外。)
您可以从已知主机列表中清除这些dynamic添加的IP +主机密钥对。 但是它们并不是真正的伤害,而且你应该永远需要通过IP地址而不是主机名来访问主机,这样可以很方便地在已知的主机文件中保存这个条目。
如果使用dynamicIP连接到多个不同的主机,最终可能遇到一台主机接收到ssh先前logging了不同主机密钥的IP地址的情况。 在这种情况下,您将收到一个错误,您将需要删除过时的IP +主机密钥对。 (如果在已知主机文件中对线进行哈希处理,要删除的对会更难以识别。)
你可以做的一件事是提高安全性,使用基于密钥的authentication,而不是基于密码的authentication。 不仅是比密码更难猜测的关键,而且由于实际上被用来签署会话ID的密钥,所以执行有线攻击也更困难,所述会话ID在毫米攻击的情况下保证不匹配。
“警告”只表示主机IP地址已经改变,你期望发生什么。
当主机密钥更改时,OpenSSH客户端会检查IP更改以提供“DNS欺骗提示”。 在你的情况下,主机密钥是正确的,警告是毫无意义的,因为@ kasperd解释。
实际上,当您期待IP更改时,您可以closuresCheckHostIP以避免警告:
sftp -o "CheckHostIP no" **@**
如果主机密钥已更改,您将收到警告。