แก้ไข: ไม่สามารถสร้างความถูกต้องของโฮสต์ได้

การอัปเดตซอฟต์แวร์ SSH ของคุณควรทำที่นี่

หากคุณกำลังเชื่อมต่อกับเซิร์ฟเวอร์ผ่าน SSH เป็นครั้งแรก คุณอาจไม่สามารถระบุความถูกต้องของข้อผิดพลาดของโฮสต์ได้ สิ่งนี้เกิดขึ้นเนื่องจากคุณ ไคลเอนต์ SSH ไม่รู้จักเซิร์ฟเวอร์

อย่างไรก็ตาม ปัญหานี้ยังคงเกิดขึ้นได้จากปัจจัยต่างๆ เช่น การโจมตีจากคนตรงกลาง โดยไม่คำนึงถึงสาเหตุของปัญหา คุณสามารถแก้ไขได้ด้วยวิธีง่ายๆ แต่มีประสิทธิผลในคู่มือนี้

เหตุใดฉันจึงไม่สามารถระบุความถูกต้องของโฮสต์ได้

รายการด้านล่างคือสาเหตุบางประการที่คุณอาจไม่สามารถพิสูจน์ความถูกต้องของข้อผิดพลาดของโฮสต์บนเซิร์ฟเวอร์ระยะไกลที่คุณพยายามเชื่อมต่อได้:

• การเชื่อมต่อครั้งแรก – หากคุณกำลังเชื่อมต่อกับเซิร์ฟเวอร์ด้วยไคลเอนต์ SSH ของคุณเป็นครั้งแรก คุณจะได้รับข้อผิดพลาดนี้อย่างแน่นอน นี่คือรูปแบบการแจ้งเตือนความปลอดภัยที่จำเป็นสำหรับการตรวจสอบและรับรองความถูกต้องของการเชื่อมต่อ
• กุญแจรีโมทผิด – ในบางกรณี ข้อผิดพลาดนี้อาจเกิดจากรหัสโฮสต์ไม่ถูกต้อง อาจเป็นเพราะคีย์สาธารณะมีการเปลี่ยนแปลง (ผ่านการอัปเดต) หรือถูกบุกรุก
• ความพร้อมใช้งานของคีย์โฮสต์หลายรายการ – หากรหัสโฮสต์ของเซิร์ฟเวอร์เป็นประเภทต่างๆ คุณอาจพบข้อผิดพลาดนี้ นี่เป็นเพราะ ECDSA อาจเป็นรายการที่จำเป็น ในขณะที่รายการในโฮสต์ที่รู้จักคือ RSA
• การโจมตีคนตรงกลาง – หากคุณพบปัญหานี้ในการเชื่อมต่อกับโฮสต์ที่รู้จักในภายหลัง อาจเป็นเพราะผู้โจมตีแอบฟังระหว่างการเชื่อมต่อของคุณกับโฮสต์

ตอนนี้เราทราบสาเหตุของข้อผิดพลาดนี้แล้ว มาแก้ไขโดยใช้วิธีแก้ปัญหาด้านล่าง

ฉันจะตรวจสอบและยืนยันรหัสโฮสต์ได้อย่างไร

1. ตรวจสอบคำแรกในบรรทัดที่สองของคำว่าไม่สามารถสร้างความถูกต้องของพรอมต์โฮสต์สำหรับอัลกอริทึมคีย์ SSH
   
2. จากนั้นตรวจสอบอักขระสองสามตัวแรกของลายนิ้วมือเพื่อกำหนดแฮช มันมักจะเป็น SHA256 หรือ นพ.5.
   
3. ตอนนี้ ลงชื่อเข้าใช้เซิร์ฟเวอร์ระยะไกลของคุณและเรียกใช้คำสั่งต่อไปนี้ขึ้นอยู่กับแฮช: สำหรับ SHA256:ssh-keygen -lf /etc/ssh/ssh_host_ed25519_key.pubสำหรับ MD5: ssh-keygen -E md5 -lf /etc/ssh/ssh_host_ed25519_key.pub
4. สุดท้าย เปรียบเทียบลายนิ้วมือกับสิ่งที่คุณเห็นเมื่อคุณเปิดการเชื่อมต่อ SSH บนอุปกรณ์ของคุณ หากยังเหมือนเดิม คุณสามารถดำเนินการเชื่อมต่อต่อไปได้ มิฉะนั้น ให้ยกเลิกการเชื่อมต่อและรายงานปัญหา

ฉันจะแก้ไขข้อผิดพลาดไม่สามารถสร้างความถูกต้องของโฮสต์ได้อย่างไร

ก่อนดำเนินการแก้ไขในส่วนนี้ ให้ลองทำตามขั้นตอนการแก้ปัญหาต่อไปนี้:

• ตรวจสอบการเชื่อมต่อเครือข่าย
• อัปเกรดซอฟต์แวร์ SSH
• ตรวจสอบให้แน่ใจว่า -SSH/known_host สามารถเขียนได้

หากยังพบปัญหาอยู่ คุณสามารถดำเนินการแก้ไขปัญหาโดยละเอียดด้านล่าง:

1. ข้ามการตรวจสอบ HostKey

นี่เป็นวิธีที่ง่ายที่สุดวิธีหนึ่งในการแก้ไขข้อผิดพลาดของโฮสต์ที่ไม่สามารถสร้างความถูกต้องได้ อย่างไรก็ตาม มีความเสี่ยงสูง เนื่องจากโดยทั่วไปจะลบการแจ้งเตือนและเปิดเผยพีซีของคุณ หากการแจ้งเตือนเกิดจากการโจมตีแบบคนกลาง

แต่ถ้าคุณแน่ใจว่าข้อความแสดงข้อผิดพลาดเป็นเพราะคีย์โฮสต์ได้รับการอัปเดตหรือกำหนดค่าใหม่ ให้เพิ่มรายการด้านล่างในไฟล์known_host: $ ssh -o "UserKnownHostsFile=/dev/null" -o "StrictHostKeyChecking=no" [email protected]

สิ่งนี้จะสร้างไฟล์การยืนยันที่เป็นโมฆะและช่วยให้คุณข้ามการแจ้งเตือนความปลอดภัยได้ หากต้องการตั้งค่านี้อย่างถาวรสำหรับผู้ใช้ปัจจุบัน ให้เพิ่มรายการด้านบนลงใน ~/.ssh/config ไฟล์.

สุดท้ายให้เพิ่มลงใน /etc/ssh/ssh_config ไฟล์แทนเพื่อใช้กับผู้ใช้ทั้งหมด

2. ตรวจสอบโฮสต์ระยะไกล

ในบางกรณี ปัญหานี้อาจเป็นเพราะคีย์โฮสต์ไม่ถูกต้องหรือใช้งานไม่ได้ นอกจากนี้ เซิร์ฟเวอร์เองอาจไม่ถูกต้อง

ในกรณีนี้ คุณต้องทำการตรวจสอบคีย์โฮสต์ SSH เพื่อให้แน่ใจว่าคีย์นั้นถูกต้องและมั่นใจว่าเซิร์ฟเวอร์ไม่ถูกบุกรุก

ในการทำเช่นนี้ ให้เรียกใช้คำสั่งด้านล่าง (เปลี่ยนเว็บไซต์ด้วยโดเมนหรือ IP จริง): ssh-keyscan website.com

คำสั่งนี้จะแสดงรหัสสาธารณะของโฮสต์ระยะไกลบนเทอร์มินัลของคุณ ตอนนี้คุณสามารถเปรียบเทียบพับลิกคีย์กับคีย์สาธารณะที่ผู้ดูแลระบบเซิร์ฟเวอร์ให้มาหรือในไฟล์known_hosts

3. ลบรหัสโฮสต์เก่า

หากไม่สามารถพิสูจน์ความถูกต้องของข้อผิดพลาด CA ของโฮสต์ได้เนื่องจากการเปลี่ยนแปลงที่ทำกับคีย์ คุณจะต้องลบคีย์เก่าออก

ในการทำเช่นนี้ ให้เรียกใช้คำสั่งด้านล่าง (เปลี่ยนเว็บไซต์ด้วยโดเมนหรือ IP จริง): ssh-keygen -R website.com

การดำเนินการนี้จะลบคีย์เก่าออกจากไฟล์known_hosts ของคุณและแก้ไขปัญหา

4. ล้างแคช DNS

1. กด หน้าต่าง คีย์ + ส, พิมพ์ ซมและเลือก เรียกใช้ในฐานะผู้ดูแลระบบ ภายใต้พรอมต์คำสั่ง
   
2. พิมพ์คำสั่งด้านล่างแล้วกด เข้า: ipconfig/flushdns
3. สุดท้าย รอให้คำสั่งทำงานเสร็จสิ้นแล้วลองเชื่อมต่ออีกครั้ง

ในบางครั้ง การไม่สามารถพิสูจน์ความถูกต้องของปัญหาโฮสต์อาจเกิดจากโฮสต์ DNS ที่กำหนดค่าไม่ถูกต้อง ในการแก้ไขปัญหานี้ คุณต้องล้างแคช DNS และเริ่มการเชื่อมต่อใหม่

มีความเสี่ยงใด ๆ ที่เกี่ยวข้องกับการล้างโฮสต์ที่รู้จักหรือไม่?

ไฟล์known_hosts เก็บคีย์ที่เชื่อถือได้ทั้งหมดของคุณและไม่ควรล้างข้อมูล แต่ถ้าคุณล้างไฟล์ ก็ไม่น่าจะเกิดปัญหาใดๆ

คุณอาจพบเฉพาะข้อผิดพลาดไม่สามารถสร้างความถูกต้องของโฮสต์ในการเชื่อมต่อที่ตามมากับเซิร์ฟเวอร์ที่เชื่อถือได้

อย่างไรก็ตาม ไฟล์จะถูกสร้างขึ้นใหม่โดยอัตโนมัติหลังจากที่คุณเชื่อมต่อกับโฮสต์ระยะไกลอื่นด้วยไคลเอ็นต์ SSH

ฉันจะป้องกันปัญหาความถูกต้องของโฮสต์ในอนาคตได้อย่างไร

ปัญหาการไม่สามารถพิสูจน์ความถูกต้องของโฮสต์เป็นเรื่องปกติเมื่อคุณเชื่อมต่อกับเซิร์ฟเวอร์เป็นครั้งแรก ดังนั้น คุณไม่ควรปิดใช้งานการแจ้งเตือนความปลอดภัย

อย่างไรก็ตาม เพื่อป้องกันข้อผิดพลาดนี้บนเซิร์ฟเวอร์ที่เชื่อถือได้ โดยเฉพาะอย่างยิ่งในการเชื่อมต่อครั้งต่อๆ ไป ตรวจสอบให้แน่ใจว่าโฮสต์ไม่ถูกบุกรุก และคุณกำลังเชื่อมต่อกับคีย์ที่ถูกต้องและอัปเดตแล้ว

เราได้มาถึงจุดสิ้นสุดของคู่มือนี้เกี่ยวกับวิธีแก้ไขปัญหาไม่สามารถพิสูจน์ความถูกต้องของโฮสต์ได้ ข้อความแจ้งนี้เป็นการแจ้งเตือนความปลอดภัยตามปกติในกรณีส่วนใหญ่ แต่อาจหมายถึงโฮสต์ระยะไกลถูกบุกรุกได้เช่นกัน

ชอบ เจ้าของหรือสิทธิ์ที่ไม่ถูกต้องในการกำหนดค่า SSH ปัญหานี้สามารถแก้ไขได้ด้วยการเรียกใช้คำสั่งสองสามคำสั่ง

นอกจากนี้ หากคุณได้รับข้อผิดพลาดเมื่อเชื่อมต่อกับเซิร์ฟเวอร์เป็นครั้งแรก โปรดทราบว่าเป็นเรื่องปกติ ดังนั้น คุณสามารถเลือกตัวเลือก ใช่ หากคุณเชื่อถือเซิร์ฟเวอร์

หากต้องการทราบ วิธีติดตั้ง RSAT บน Windows 11ตรวจสอบคำแนะนำโดยละเอียดของเราในหัวข้อ