Linux上のSSH：ローカルサブネット（known_hosts）上のホストのホストキーチェックを無効にする

これは、常に変化するEC2ホストに使用する構成です。

maxim@maxim-desktop:~$ cat ~/.ssh/config 
Host *amazonaws.com
        IdentityFile ~/.ssh/keypair1-openssh
        IdentityFile ~/.ssh/keypair2-openssh
        User ubuntu
        StrictHostKeyChecking no
        UserKnownHostsFile /dev/null

これにより、ホストの確認が無効になりますStrictHostKeyChecking noまた、ニースハックを使用して、sshがホストIDを永続ファイルに保存しないようにしますUserKnownHostsFile /dev/null追加の値として、ホストへの接続に使用するデフォルトのユーザーと、いくつかの異なる識別秘密鍵を試すオプションを追加したことに注意してください。

OpenSSHを使用していると仮定すると、

CheckHostIP no

既知のホストでホストIPがチェックされないようにするオプション。 manページから：

CheckHostIP

このフラグが「yes」に設定されている場合、ssh（1）はさらに、known_hostsファイルのホストIPアドレスをチェックします。これにより、sshはDNSスプーフィングが原因でホストキーが変更されたかどうかを検出できます。オプションが 'no'に設定されている場合、チェックは実行されません。デフォルトは「yes」です。

これを見つけるのにしばらく時間がかかりました。私が見た最も一般的なユースケースは、リモートネットワークへのSSHトンネルがある場合です。ここでのすべてのソリューションは、私のNagiosスクリプトを破壊する警告を生成しました。

私が必要としたオプションは：

NoHostAuthenticationForLocalhost yes

これは、名前が示すように、localhostにのみ適用されます。

これを一時的に、またはSSH構成ファイルを変更する必要なしに無効にしたい場合は、以下を使用できます。

ssh -o UserKnownHostsFile=/dev/null username@hostname

他のすべての回答はキーチェックを無効にする方法を説明しているため、キーチェックを保持しながら問題を回避する2つのアイデアを次に示します。

1. ホスト名を使用します。 DHCPサーバーを制御し、適切な名前を割り当てることができれば、これは簡単です。その後、既知のホスト名を使用できますが、IPの変更は問題ではありません。

2. ホスト名を使用します。 DHCPサーバーを制御していない場合でも、avahiのようなサービスを使用できます。これにより、ローカルネットワークでサーバーの名前がブロードキャストされます。衝突やその他の問題を解決します。

3. ホスト鍵署名を使用します。マシンを構築したら、ローカルCAでマシンに署名します（そのためのグローバルな信頼されたCAは必要ありません）。その後は、マシン上の各ホストを個別に信頼する必要はありません。 known_hostsファイルの署名CAを信頼するだけで十分です。 ssh-keygenのマニュアルページまたは多くのブログ投稿の詳細情報（ https://www.digitalocean.com/community/tutorials/how-to-create-an-ssh-ca-to-validate -hosts-and-clients-with-ubunt ）