当多个主机共享相同的IP和DNS名称时，如何编辑known_hosts？

我定期将计算机放入双引导OS X / Linux计算机。两个OS实例不共享相同的主机密钥，因此可以将它们视为共享相同IP和DNS的两个主机。假设IP为192.168.0.9，名称为hostname和hostname.domainname

据我了解，能够连接到这两个主机的解决方案是将它们都添加到~/.ssh/know_hosts文件中。但是，说起来容易，做起来难，因为该文件散列，并且每个主机都可能几个条目（192.168.0.9，hostname，hostname.domainname）。因此，我有以下警告

Warning: the ECDSA host key for 'hostname' differs from the key for the IP address '192.168.0.9'

有没有一种简单的方法可以known_hosts在保留哈希值的同时编辑文件。例如，如何找到与给定豆蔻对应的线？如何为某些已知主机生成哈希？

理想的解决方案将使我能够通过ssh无缝连接到这台计算机，无论我将其称为192.168.0.9，hostname还是hostname.domainname，或者它是否使用其Linux主机密钥或OSX主机密钥。但是，如果仍然存在真正的中间人攻击，即如果使用了不同于这两者的另一个密钥，我仍然希望收到警告。

此处最直接的解决方案是针对Linux和OS X使用相同的主机密钥。即，选择一组/etc/ssh/ssh_host_*_key*文件并将其复制到另一OS。然后，无论您引导到哪个操作系统，都将向SSH客户端提供相同的主机密钥，而SSH客户端则更明智。

正如@Izzy在上面的注释中所建议的那样，ssh告诉您有问题的行，然后删除该行（将其保存在其他位置），接受新的密钥，然后将删除的行复制回去，就可以得到两个相同的密钥主机，而ssh将接受其中一个。

（您还可以ssh-keygen -H -F <hostname>在您的known_hosts文件中查找与该主机名匹配的行。将删除的行复制回去后运行此行将列出两个条目。）

如果有人知道如何让PuTTY做同样的事情，那么我将很感兴趣。

我发现这可以帮助您实现目标。

来源：https : //stackoverflow.com/questions/733753/how-to-handle-ssh-host-key-verification-with-2-different-hosts-on-the-same-but

在您的.ssh目录中创建一个配置文件，如下所示：

Host server1
  Hostname x1.example.com
  HostKeyAlias server1
  CheckHostIP no
  Port 22001
  User karl

Host server2
  Hostname x2.example.com
  HostKeyAlias server2
  CheckHostIP no
  Port 22002
  User karl

下面的解释（来自man ssh_config）

CheckHostIP

如果此标志设置为“ yes”，则ssh（1）将另外检查known_hosts文件中的主机IP地址。这允许ssh检测主机密钥是否由于DNS欺骗而改变。如果选项设置为“ no”，则将不执行检查。默认值为“是”。

HostKeyAlias

指定在主机密钥数据库文件中查找或保存主机密钥时应使用的别名，而不是真实的主机名。此选项对于建立SSH连接隧道或在单个主机上运行的多个服务器很有用。

用户名和端口行避免了您也必须在命令行中提供这些选项，因此您可以使用：

% ssh server1
% ssh server2

解决问题的最简单方法是为每个主机分配一个自己的/不同的IP地址。您的（专用）网络和IPv4中有253个可用地址，这没什么大不了的。给它们提供固定的IP（因为DHCP服务器将根据网卡的MAC地址识别计算机，并且两者都将获得相同的地址）。如果您想保留安全措施，那么我看不到任何其他解决方案（我也不会因为那种“安慰”而放弃）。

连接到共享相同IP的各个VPS盒时，我没有遇到这个问题，因为每个盒都有不同的SSH端口（20022、30022等），因此它们被注册为具有不同密钥的已知主机。

这对您来说是一种解决方法？

另一篇文章，描述了解决问题的几种方法：

第二种方法使用两个openSSH参数：StrictHostKeyCheckin和UserKnownHostsFile。此方法通过将SSH配置为使用空的known_hosts文件来欺骗SSH，而不是要求您确认远程主机标识密钥。

由于您想保持严格的主机密钥检查，我希望它们使用不同的known_hosts文件。为此，请按以下步骤设置您的~/.ssh/config文件（/etc/ssh/ssh_config如果需要在多个本地用户帐户上使用，也可以设置该文件）：

Host myserver.osx
  UserKnownHostsFile ~/.ssh/known_hosts.dual.osx
  # default is ~/.ssh/known_hosts
  Hostname $REALHOSTNAME

Host myserver.linux
  UserKnownHostsFile ~/.ssh/known_hosts.dual.linux
  Hostname $REALHOSTNAME

，$REALHOSTNAME当然要用实际的主机名或IP地址代替。（选择哪个都没关系，只要您在“主机名”之后选择可以解析为IP地址的内容即可，但是出于一般原则，我会优先使用主机名而不是IP地址。）

然后ssh myserver.linux，ssh myserver.osx因此可以具有不同的主机密钥，但是您仍然可以进行检查。如果运行的是Linux，并且您键入OS X（反之亦然），则会收到警告（我认为这是理想的效果）。

如果遇到此问题，我将确保主known_hosts文件中完全有错误，而这两个都不匹配，因此如果您键入$REALHOSTNAME而不是myserver.osx得到警告。:-)我可以这样放一些东西

<ip-address-of-github.com> $REALHOSTNAME

在我的/etc/hosts，然后输入ssh $REALHOSTNAME并接受新密钥，然后取出该条目。