Snažíme se urychlit instalaci uzlů oracle pro instalaci RAC.
to vyžaduje, abychom si nechali nainstalovat a nakonfigurovat ssh tak, aby nevyžadoval heslo.
Problém je:
Při prvním použití jsme vyzváni k
RSA key fingerprint is 96:a9:23:5c:cc:d1:0a:d4:70:22:93:e9:9e:1e:74:2f.
Are you sure you want to continue connecting (yes/no)? yes
Existuje způsob, jak se tomu vyhnout, nebo jsme odsouzeni k tomu, abychom se na každý server z každého serveru připojili alespoň jednou ručně?
Přijatá odpověď:
Aktualizace z prosince 2019:
Jak níže uvedl Chris Adams, během 6,5 roku od napsání této odpovědi došlo k poměrně významné změně Openssh a existuje nová možnost, která je mnohem bezpečnější než původní rada níže:
* ssh(1): expand the StrictHostKeyChecking option with two new
settings. The first "accept-new" will automatically accept
hitherto-unseen keys but will refuse connections for changed or
invalid hostkeys. This is a safer subset of the current behaviour
of StrictHostKeyChecking=no. The second setting "off", is a synonym
for the current behaviour of StrictHostKeyChecking=no: accept new
host keys, and continue connection for hosts with incorrect
hostkeys. A future release will change the meaning of
StrictHostKeyChecking=no to the behaviour of "accept-new". bz#2400
Takže místo nastavení StrictHostKeyChecking no ve vašem ssh_config soubor, nastavte StrictHostKeyChecking accept-new .
Nastavte StrictHostKeyChecking no ve vašem /etc/ssh/ssh_config soubor, kde to bude globální volba používaná každým uživatelem na serveru. Nebo jej nastavte v ~/.ssh/config soubor, kde bude výchozí pouze pro aktuálního uživatele. Nebo jej můžete použít na příkazovém řádku:
ssh -o StrictHostKeyChecking=no -l "$user" "$host"
Zde je vysvětlení, jak to funguje z man ssh_config (nebo se podívejte na tuto aktuálnější verzi):
StrictHostKeyChecking
Pokud je tento příznak nastaven na „ano“, ssh nikdy automaticky nepřidá
klíče hostitele do$HOME/.ssh/known_hostsa odmítá se
připojit k hostitelům, jejichž klíč hostitele se změnil.
To poskytuje maximální ochranu
proti útokům trojských koní, ale může to být
nepříjemné, když/etc/ssh/ssh_known_hostssoubor je
špatně udržován
nebo se často vytvářejí připojení k novým hostitelům. Tato možnost
nutí uživatele ručně přidat všechny nové hostitele. Pokud je tento příznak
nastaven na „ne“, ssh automaticky přidá nové hostitelské klíče k
souborům hostitelů známých uživatelem. Pokud je tento příznak nastaven na „zeptat se“, nové
klíče hostitele budou přidány do souborů hostitele známých uživateli teprve poté, co
uživatel potvrdí, že to je to, co opravdu chce udělat, a ssh odmítne se připojit k hostitelům, jejichž hostitelský klíč se změnil.
Klíče hostitelů známých hostitelů budou automaticky ověřeny
ve všech případech. Argument musí být „ano“, „ne“ nebo „zeptat se“. Výchozí
je „zeptat se“.