host key verification failed 解决方案 – wiki词典

作者: /

解决 “Host Key Verification Failed” 错误:全面指南

在使用 SSH 连接远程服务器时,您可能偶尔会遇到 “Host key verification failed” (主机密钥验证失败) 错误。这个错误意味着您的 SSH 客户端检测到远程服务器的主机密钥与之前存储的密钥不匹配。本文将详细解释此错误的原因、如何安全地解决它以及需要注意的安全事项。

为什么会出现 “Host key verification failed” 错误?

当您第一次通过 SSH 连接到一个新的服务器时,SSH 客户端会记录该服务器的唯一主机密钥,并将其保存在您的本地 known_hosts 文件中(通常位于 ~/.ssh/known_hosts)。此后的每次连接,客户端都会检查服务器提供的主机密钥是否与 known_hosts 文件中存储的密钥一致。

如果密钥不匹配,就会触发 “Host key verification failed” 错误。这通常由以下几种情况引起:

  1. 服务器重新安装或升级: 如果远程服务器的操作系统被重新安装、IP 地址发生变化或 SSH 服务进行了升级,其主机密钥可能会随之改变。
  2. DNS 记录变更: 如果您通过主机名连接服务器,并且该主机名的 DNS 解析指向了不同的服务器,也可能导致密钥不匹配。
  3. 负载均衡器或网络设备: 在某些复杂网络环境中,如果连接被路由到不同的服务器或经过了中间设备,也可能出现此问题。
  4. 恶意攻击(中间人攻击): 这是最需要警惕的情况。如果攻击者劫持了您的连接,伪装成目标服务器,那么他们会提供一个不同的主机密钥,旨在窃取您的凭据或监听您的通信。SSH 客户端的这种安全机制正是为了防止此类攻击。

如何解决 “Host key verification failed” 错误?

解决此错误的主要方法是从您的 known_hosts 文件中删除旧的、不匹配的服务器主机密钥。以下是两种推荐的方法:

方法一:使用 ssh-keygen -R (推荐且最安全)

这是清理 known_hosts 文件的最佳方法,因为它只会删除特定主机名的密钥,而不会影响其他条目。

  1. 识别有问题的服务器: 当您收到 “Host key verification failed” 错误时,错误信息通常会明确指出是哪个主机名或 IP 地址导致了问题,有时还会提示 known_hosts 文件中的行号。

  2. 执行删除命令: 打开您的终端或命令提示符,然后运行以下命令:

    bash
    ssh-keygen -R [hostname_or_IP_address]

    请将 [hostname_or_IP_address] 替换为导致错误的实际主机名或 IP 地址。例如:

    bash
    ssh-keygen -R example.com
    ssh-keygen -R 192.168.1.100

    这个命令会自动在 ~/.ssh/known_hosts 文件中查找并删除与指定主机相关的所有条目。

  3. 重新连接服务器: 尝试再次通过 SSH 连接到服务器。此时,系统会提示您接受新的主机密钥。仔细检查显示的密钥指纹(如果可能的话,通过安全渠道与服务器管理员核对),然后输入 yes 确认。新的主机密钥将被添加到您的 known_hosts 文件中。

方法二:手动编辑 known_hosts 文件

如果您更喜欢手动操作,可以直接编辑 known_hosts 文件。

  1. 定位 known_hosts 文件: 该文件通常位于您的用户主目录下的 .ssh 文件夹内,即 ~/.ssh/known_hosts

  2. 用文本编辑器打开文件: 使用您喜欢的文本编辑器(如 nano, vim, notepad, VS Code 等)打开此文件。

    bash
    nano ~/.ssh/known_hosts

  3. 删除相关行: 找到包含导致错误的主机名或 IP 地址的那一行(或多行),并将其完全删除。错误信息通常会提供具体的行号,这有助于您快速定位。

  4. 保存并关闭文件: 保存您所做的更改并关闭文本编辑器。
  5. 重新连接服务器: 再次尝试 SSH 连接。您将被提示接受新的主机密钥,确认后即可连接。

安全注意事项

虽然解决 “Host key verification failed” 错误通常只是一个简单的维护步骤,但请务必牢记其背后的安全含义:

  • 验证主机密钥的真实性: 在接受新的主机密钥之前,尤其是当您不确定服务器密钥是否真的应该改变时,强烈建议您通过带外方式(out-of-band method)验证新密钥的指纹。这意味着通过一个独立于 SSH 连接的、安全的渠道(例如,电话、聊天软件、另一台已验证的服务器)联系服务器管理员,以确认新密钥指纹与服务器实际的指纹一致。这是防止中间人攻击的关键步骤。
  • 避免使用 StrictHostKeyChecking=no 有些用户为了省事,可能会使用 ssh -o StrictHostKeyChecking=no user@host 或在 SSH 配置文件中设置 StrictHostKeyChecking no这种做法非常危险,因为它完全禁用了主机密钥验证机制。这意味着您的客户端会无条件接受任何服务器提供的主机密钥,从而使您极易受到中间人攻击。除非您非常清楚自己在做什么且是在一个高度受控的环境中,否则切勿使用此选项。

通过理解 “Host key verification failed” 错误的原因并采取安全的解决步骤,您可以有效地管理您的 SSH 连接,同时保护自己免受潜在的网络威胁。

滚动至顶部