LINUX.ORG.RU
ФорумAdmin

The authenticity of host '* *' can't be established

 


0

1

Из под обычного юзера у меня постоянно есть ssh соединение к паре северов. И по какой-то причине, в консоли под рутом, выскакивает сообещние

The authenticity of host '*' can't be established.
ECDSA key fingerprint is SHA256:*.
Are you sure you want to continue connecting (yes/no)?

root то тут причем, я не пытаюсь от него подключиться. Причем обычно это вроде про 1 или 2 сервера, хотя подключаюсь переодически к 10ти.

Кто виноват и что делать


Фингерпринты сохраняются в ~/.ssh/known_hosts

Когда ты делаешь это от рута - у тебя используется другой known_hosts (не твоего юзера, а рута) в котором отсутствует фингерпринт сервера к которому ты подключаешься, поэтому тебя предупреждают что сервер незнакомый, чтобы ты мог сделать осознанный выбор.

slowpony ★★★★★
()
Ответ на: комментарий от firkax

ssh соединение от обычного юзера, но в соседней консоли когда делаю sudo -s начинают сыпаться эти сообщение, сообщение не интерактивное, не требует ответа, просто вывалиается когда жму enter.

Когда ты делаешь это от рута - у тебя используется другой known_hosts

я ничего не делаю от рута, коннект от обычного пользователя. А в рутовой консоли в проивольный момент времени выскакиет сообещние. Оно не требует реакции, неважно что ты напечатаешь в ответ и напечатаешь ли, все равно через 10-100 минут еше раз выскочит

swelf-home ~/src/ [master|✔] $ 
swelf-home ~/src/ [master|✔] $ 
swelf-home ~/src/ [master|✔] $ /etc/init.d/openvpn restart
[ ok ] Restarting openvpn (via systemctl): openvpn.service.
swelf-home ~/src/ [master|✔] $ 
swelf-home ~/src/ [master|✔] $ The authenticity of host '*' can't be established.
ECDSA key fingerprint is SHA256:r1WWrNRErAi9vGxysPNMJ6aXXg9KiN5dkV67UDt5UzQ.
Are you sure you want to continue connecting (yes/no)? 

swelf-home ~/src/ [master|✔] $ 
swelf-home ~/src/ [master|✔] $ /etc/init.d/openvpn restart
[ ok ] Restarting openvpn (via systemctl): openvpn.service.
swelf-home ~/src/ [master|✔] $ The authenticity of host '*' can't be established.
ECDSA key fingerprint is SHA256:r1WWrNRErAi9vGxysPNMJ6aXXg9KiN5dkV67UDt5UzQ.
Are you sure you want to continue connecting (yes/no)? 

swelf-home ~/src/ [master|✔] $ 
swelf-home ~/src/ [master|✔] $ The authenticity of host '*' can't be established.
ECDSA key fingerprint is SHA256:r1WWrNRErAi9vGxysPNMJ6aXXg9KiN5dkV67UDt5UzQ.
Are you sure you want to continue connecting (yes/no)? 

swelf-home ~/src/ [master|✔] $ 
swelf-home ~/src/ [master|✔] $ The authenticity of host '*' can't be established.
ECDSA key fingerprint is SHA256:r1WWrNRErAi9vGxysPNMJ6aXXg9KiN5dkV67UDt5UzQ.
Are you sure you want to continue connecting (yes/no)? 

Сейчас обратил внимание, что ssh коннекта с сервером нет минимум несколько часов, а странные сообщения появляются.

swelf
() автор топика
Последнее исправление: swelf (всего исправлений: 1)
Ответ на: комментарий от swelf

У тебя кто-то в фоне запускает ssh и пытается куда-то подключиться. Из той консоли, в которую пишутся эти сообщения. Что это за консоль? Окно в иксах или ctrl-alt-f1? Ты уверен что зависит именно от рут логина в ней? Если в ней логиниться не рутом то нет сообщений? Если логиниться рутом в другой - есть?

firkax ★★★★★
()
Ответ на: комментарий от firkax

Вкладка терминала, X сессия. Мне кажется все же какойто сбой ОС. сомневаюсь что кто-то лмится из под рута на сервер, в то время как можно подключиться от обычного пользователя при помощи незапароленного ключа, более того, посмотрел за сутки логи /var/log/auth.log, есть только одно подключение с моего ip, это я только что.

Ты уверен что зависит именно от рут логина в ней

Да, у меня пара десятков вкладок терминала, и только одна из них рутовая и только в ней есть такое. Ради интереса сделал ctrl-alt-f2, сделал там sudo -s, посмотрим что будет.

swelf
() автор топика
Ответ на: комментарий от swelf

Мне кажется все же какойто сбой ОС.

нет

Да, у меня пара десятков вкладок терминала, и только одна из них рутовая и только в ней есть такое. Ради интереса сделал ctrl-alt-f2, сделал там sudo -s, посмотрим что будет.

Сделай ещё один рутовый терминал например. Думаю в других не будет такого.

Скорее всего ты в той вкладке сам что-то запустил давно и забыл. Можешь поискать этот процесс. Набираешь в той вкладке где надписи

tty
оно ответит что-то типа /dev/pts/29

Потом набираешь (лучше рутом тоже)

ls -al /proc/*/fd/* | grep -F /dev/pts/29
И увидишь список строк такого вида:
lrwx------ 1 user1 user1 64 мар  9 05:14 /proc/12345/fd/2 -> /dev/pts/29
эта строка означает что процесс с pid 12345 держит открытым доступ к этому терминалу через своё fd=2. Найди список процессов которые имеют доступ к терминалу и посмотри что за процессы.

А ещё можно набрать

ps axuww | grep -F pts/29 | grep -v -F grep
тогда увидишь список процессов, для которых этот терминал - контролирующий (они тоже могут в него писать).

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 2)

Всем спасибо, зловред найден. Шаги для поиска.

  1. Включил tcpdump на 22 порт и целевой хост, и стал ждать, неожиданно увидел что пакеты иногда ходят. Я в этот момент содинение не нициировал. внимательней посомтрел auth.log и нашел кучу строк Mar 9 22:10:30 * sshd[4461]: Connection closed by ... port 11914 [preauth]

В то что машина стала общественной всеже не верил

  1. Решил посмотреть на процессы связанные с терминалом по рецепту firkax, ничего кроме шела там не обнаружил.

  2. Запустил аудит auditctl -a exit,always -F arch=b64 -S execve дождался сообщения к консоли и полез в файл /var/log/audit/audit.log, рядом с командой ssh была команда git, что и привело меня к решению.

К шелу подвязан скрипт

if [ -f "$HOME/.bash-git-prompt/gitprompt.sh" ]; then
    GIT_PROMPT_ONLY_IN_REPO=0
    source $HOME/.bash-git-prompt/gitprompt.sh
    GIT_PROMPT_SHOW_UNTRACKED_FILES=no
    GIT_PROMPT_THEME=Single_line_NoExitState_Gentoo
fi

который добавляет некоторую информацию о состояний git репы в prompt, в том числе и сверяя с remote сервром подцепленным по ssh. Переключаюсь я на рута sudo -s в одной из папок в git проектом, у рута нету ни одного хоста в .known_hosts, соответственно когда в фоне скрипт помошник лезет в remote репу, то ему прилетает отлуп в виде вышеописанного сообщения.

swelf
() автор топика
Последнее исправление: swelf (всего исправлений: 1)