Kurztipp: Mit OpenSSH Host-Key temporär ignorieren

Die meisten (Linux-)Admins werden das Problem kennen: OpenSSH ist sehr streng, was SSH-Host-Keys angeht: Wenn sich der Key eines Hosts ändern sollte, weigert OpenSSH sich relativ konsequent, eine Verbindung mit dem entsprechenden Host herzustellen, bis man die den Key manuell aus der Liste bekannter Keys gelöscht hat. „Someone is doing something nasty!“.

Wir haben bei uns aktuell eine Menge Server neu aufgesetzt, wodurch diese natürlich auch erst mal neue Keys bekommen haben. Wir hatten die alten Keys gesichert, weil wir den Benutzer ersparen wollten, den Key manuell zu löschen, aber auch um den neuen (bzw. alten) Key zu installieren, muss man sich ja erst mal mit dem Server verbinden. Unser Workflow war also:

  • Server neuinstallieren
  • Versuchen mit dem Server zu verbinden
  • Ach Mist, Key löschen
  • Mit Server verbinden, neuen Key installieren
  • Versuchen, wieder mit dem Server zu verbinden
  • Ach Mist, Key noch mal löschen
  • Mit Server verbinden

Das ist natürlich irgendwie etwas nervig. Soweit ich weiß hat OpenSSH (mit Absicht) auch keine direkte Option, den Host-Key einfach zu ignorieren, aber es gibt eine Option, eine andere Datei für die Keys anzugeben (statt ~/ssh/known_hosts). Und hier kommt der Trick:

ssh user@host -o UserKnownHostsFile=/dev/null

Mit diesem Code wird /dev/null als alternatives KnownHosts Datei verwendet. In dieser Datei ist natürlich der Key nicht vorhanden, also fragt OpenSSH nach, ob es dem Key vertrauen soll (das lässt sich damit nicht unterdrücken). Da die Datei aber auch nicht geschrieben werden kann (bzw. alles verworfen wird), kann der Key auch nicht gespeichert werden, und der temporäre Key macht später keine Probleme. Sobald man den Key ausgetauscht hat, lässt man UserKnownHostsFile einfach wieder weg, und der alte, gespeicherte Key wird verwendet 🙂 OpenSSH ist schon ein feines Stück Software 🙂

Wo wir gerade dabei sind: Wir setzen bei der Verwaltung unserer Server inzwischen zunehmend auf Ansible, und das macht wirklich Spaß und erhöht die Produktivität deutlich!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert