SSH – WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!



Il titolo di questo post è proprio il messaggio di errore che compare nel caso in cui vi state collegando su un determinato server che ha cambiato il proprio fingerprint, e quindi la propria identità.

Questo caso può accadere per svariati motivi:

1 – Abbiamo reinstallato il server SSH e quindi ovviamente è cambiato sia il fingerprint che la coppia di chiavi (pubblica e privata);

2 – Abbiamo formattato il server, e quindi come prima sia il fingerprint che le chiavi son cambiate;

3 – Il caso più drastico, il server è stato compromesso.

Prima di tutto vi riporto il messaggio in chiaro quando la connessione viene rifiutata per un conflitto di chiavi:


ssh davenull@192.168.0.115

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!

Someone could be eavesdropping on you right now (man-in-the-middle attack)!

It is also possible that a host key has just been changed.

The fingerprint for the ECDSA key sent by the remote host is

d7:48:9b:6d:1e:ce:0a:e2:73:c6:72:b7:51:3c:1e:55.

Please contact your system administrator.

Add correct host key in /home/at-client/.ssh/known_hosts to get rid of this message.

Offending ECDSA key in /home/at-client/.ssh/known_hosts:67

ECDSA host key for 192.168.0.115 has changed and you have requested strict checking.

Host key verification failed.

In pratica l’IP 192.168.0.115 ha più sistemi operativi installati, e l’ultima connessione SSH fatta dal pc chiamato at-client non era sullo stesso sistema operativo del server in questione.

La cosa più saggia da fare IN CASO DI NON ATTACCO è quella di eliminare il fingerprint di 192.168.0.115 digitando il comando:

ssh-keygen -f ~/.ssh/known_hosts -R 192.168.0.115

In questo modo quando vi riconnetterete al server in questione vi richiederà di accettare il nuovo fingerprint.




Leave a comment