Home > nerdcore, software > @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @

@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @

February 24th, 2009 Leave a comment Go to comments

Ach ja, jeden Tag nutzt man ssh aber eigentlich hat man keine Ahnung davon ;-)

Hand auf Herz Leute, was macht ihr wenn “WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!” in der Kommandozeile steht? Genau,

vim ~/.ssh/known_hosts

und die Zeile für den betreffenden Host löschen. Das man das eigentlich nicht so machen sollte steht auf einem ganz anden Blatt. Wie es eigentlich geht? So:

Auf meinem Laptop kommt der Fehler:

[21:46:24][robin@robin-laptop:~]$ ssh vpv
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@       WARNING: POSSIBLE DNS SPOOFING DETECTED!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
The RSA host key for vpv has changed,
and the key for the according IP address 141.xxx.xxx.2
is unchanged. This could either mean that
DNS SPOOFING is happening or the IP address for the host
and its host key have changed at the same time.
Offending key for IP in /home/robin/.ssh/known_hosts:54
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
cf:86:16:04:13:e9:15:6c:8d:b3:45:4e:5c:ff:57:65.
Please contact your system administrator.
Add correct host key in /home/robin/.ssh/known_hosts to get rid of this message.
Offending key in /home/robin/.ssh/known_hosts:53
RSA host key for vpv has changed and you have requested strict checking.
Host key verification failed.

Wichtig ist dabei der Fingerprint der mir mitgeteilt wird (cf:86:16:…). Dieser muss gegengecheckt werden. Dazu habe ich zwei Möglichkeiten. Entweder ich geh zum Admin der Kiste und frage ihn nach dem aktuellen Fingerprint (Was schlecht ist wenn man selber Admin ist und den Fingerprint nicht im Kopf hat ;-) ). Oder, ich checke ihn mit der eines Clients bei dem es ohne Warnmeldung funktioniert. Das geht so:

Auf zum Beispiel meiner Workstation kann ich mich ohne Probleme auf den Server verbinden. Dann checke ich dort mit

1
2
3
cd ~/.ssh
ssh-keygen -l -f known_hosts
1024 cf:86:16:04:13:e9:15:6c:8d:b3:45:4e:5c:ff:57:65 vpv,141.xxx.xxx.2

den Fingerprint gegen. Ist der Fingerprint aus der Warnmeldung identisch mit dem auf meiner Workstation kann ich mich ohne Bedenken ans Löschen der betreffenden known_hosts Zeile machen.

  1. February 24th, 2009 at 22:29 | #1

    das ist wie bei ssl -die exceptions im firefox gibt eh jeder frei – frei nach dem motto – hauptsache verschlüsselte kommunikation – wer da am anderen ende der (sicheren) leitung sitzt ist dabei völlig egal ;)

  1. No trackbacks yet.